1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
신용녀, 솔루션아키텍트
컴플라이언스를 위한 고급
AWS 보안 구성 방법

2. 본 강연에서 다룰 내용
• 클라우드 컴플라이언스와 자동화(Automation)
• 새로 추가된 보안 서비스
• WAF 개요 및 자동화 전략WS WAF 보안 자동화략
• 클라우드 컴플라이언스와 확장(Scalability)

3. AWS Compliance
Care deeply about data security
We work to get this right for customers

4. AWS는 주요 규제/표준/모범사례를 준수합니다.
90+
services
7,710 Audit
Artifacts
2,670
Controls
3,030 Audit
Requirements
보안 기준을 지속적으로 개선하기 위해서 모든 것을 구축합니다
Care deeply about data security

5. 데이터 소유권 (Data Ownership)
…AWS 모든 리전은 지리적으로 격리되도록 디자인 되어있습니다.Isolated by Design
Data is not replicated
Customers always
own their data
…고객이 AWS에 요청하지 않는한, 어떠한 경우에도 데이터를 다른 리전에 복제하지 않습니다.
…고객만이 데이터를 소유하고, 암호화하고, 이동시키고, 지울수 있습니다.
…고객이 자신의 데이터를 어디에 저장될지 선택합니다.Where to place their data

6. 책임 공유 모델
AWS 기본 서비스
컴퓨팅 스토리지 데이터베이스 네트워킹
AWS 글로벌
인프라 리전
가용 영역
엣지 로케이션
클라이언트 측 데이터 암호화
및 데이터 무결성 인증
서버 측 암호화
(파일 시스템 or 데이터)
네트워크 트래픽 보호
(암호화/무결성/자격 증명)
플랫폼, 어플리케이션, 신원 및 접근 제어(IAM)
운영체제, 네트워크, 방화벽 설정
고객 어플리케이션 및 컨텐츠
Customers
AWS
서비스
파트너
솔루션
AWS와 고객이 보안을 함께 완성할 책임이 있습니다.

7. Apply the security principles of
“ Least privilege” and
“Segregation of responsibilities”

8. AWS Identity and Access Management (IAM)
AWS서비스와 리소스에 대한 안전한 접근 통제
사용자 이름 /
사용자
사용자 그룹
관리
중앙화된 접근
제어 관리
• 사용자, 그룹, 롤(Role) 및 권한
• 제어
• 중앙집중식
• 잘 갖춰진 – APIs, 자원 및 AWS 관리 콘솔
• 보안
• 기본적으로 안전함(거부 규칙)
• 다중 사용자, 개별 보안 신원 및 권한
계정에서 누가 무엇을 할 수 있는지 제어

10. AWS Organizations
Organization
• AWS Account들을 중앙에서 정책기반으로 제어할 수 있는 통합 관리 서비스
AWS account
• AWS 리소스를 사용하는 amazon 계정
• AWS Identity and Access Management (IAM) principals (users, roles)
• AWS Organizations의 최소 구성 요소
Master account
• 해당 organization 내 모든 AWS accounts의 사용비용을 지불하는 AWS account
• 해당 organization의 정책 및 권한을 관리하는 AWS account
Organizational unit (OU)
• 해당 organization 내 AWS accounts 및 다른 OUs들의 논리적인 집합
Organization control policy (OCP)
• 특정 AWS accounts에게 적용된 권한 제어 문서

11. Example
A6
Development Test Production
A8A1
A5
A4A3
A2
A9
A7
Security

12. Amazon Inspector
• Agent 기반 - 어플리케이션 보안 수준 진단
• 보안 진단 결과 – 가이드 제공
• EC2 태그(Tag) 기반 검사
• Account 당 50개 Soft Limit
• 500 Assessment 템플릿
• Rule Package
• CVE (common vulnerabilities and exposures)
• CIS (Center for Internet Security)
• Runtime Behavior Analysis
• Amazon security best practices – Network, Authentication, OS
Configuration, Application

16. 퍼스트 클래스 보안 및 규정준수는
암호화로 시작됩니다.
(그리고 끝나지 않습니다!)

17. Encryption - 전송중 / 저장시 암호화
자세한 정보가 담긴 백서,“Securing Data at Rest with Encryption”.
전송 중 암호화
HTTPS
SSL/TLS
SSH
VPN
Object
저장 시 암호화
Object
Database
Filesystem
Disk

18. AWS KMS - 암호화키 생성/보관/관리
Customer Master
Key(s)
Data Key 1
Amazon
S3
Object
Amazon
EBS
Volume
Amazon
Redshift
Cluster
Data Key 2 Data Key 3 Data Key 4
• 암호화키를 안전하게 생성/보관/관리 해주는 관리형
서비스
• 중앙 집중 암호화 키 관리:
EBS S3 Redshift
AWS
SDK
AWS CloudTrail
자세한 내용을 담고 있는 백서: KMS Cryptographic Details.

19. AWS Key Management Service
Integrated with Amazon EBS

20. AWS Certificate Manager (ACM)
SSL/TLS 인증서를 손쉽게 생성, 관리, 적용 시켜주는 서비스
• 인증서를 쉽고 빠르게 생성 및 웹 사이트 적용
• ACM 제공 인증서는 “Managed” 로 자동으로 인증서 갱신
• RSA 2048 과 SHA-256 알고리즘으로 ELB나 CloudFront에
연동되는 무료 서비스
* CF Distribution 적용시 리전 제약 없음

21. WAF 보안 자동화 전략

22. AWS WAF
커스텀 규칙 기반의 유연한
Layer 7 트래픽 필터링 엔진
악의적인 요청 차단 액티브 모니터링과 튜닝

23. WAF 어플리케이션 취약점 탐지
Good users
Bad guys
Web server
Database
Exploit
code AWS
WAF

24. WAF Content abuse: Bots and scrapers
Good users
Bad guys
Web server
Database
AWS
WAF

25. WAF 어플리케이션 DDoS
Good users
Bad guys
Web server
Database
AWS
WAF

26. WAF 보안 이벤트에 대한 모니터링

27. AWS WAF
웹방화벽
Good users
Bad guys
AWS WAF region
Amazon
CloudFront
AWS WAF
§ AWS ELB (External / Internal) 모두에서 WAF Rule 설정 가능
§ CloudFront를 쓰지 않는 고객 및 CF를 경유하지 않는 서비스에 적용
* 지원리전: Virginia, Oregon, Tokyo, Ireland

28. AWS WAF 보안 자동화 전략
Provisioning WAF Configuring rules Importing rules Automated incident
response
Learning-­based
protections
… to spend less time securing applications

29. Provisioning AWS WAF
IP Whitelist
SQL injection
URL match
룰 1: Whitelist [ALLOW]
IP Blacklist
룰 2: Blacklist [BLOCK]
룰 3: Common protection [BLOCK]
단계 4:
Associate
CloudFront
ELB
단계 3: Add condition단계 2: Add rule
단계 1:
Create
web ACL

30. Provisioning AWS WAF: Reuse
IP whitelist
internal IP
SQL injection
URL match
Rule 1: Whitelist [ALLOW]
IP blacklist
known bad
Rule 2: Blacklist [BLOCK]
Rule 3: Common protection #1 [BLOCK]
Web ACL #1
ELB 1
(dev env)
Rule 4: Common protection #2 [BLOCK]
XSS match
Web ACL #2ELB 2
(prod env)
Spend less time by reusing WAF rules

31. Provisioning AWS WAF: Reuse
IP whitelist
internal IP
SQL injection
URL match
Rule 1: Whitelist [ALLOW]
IP blacklist
known bad
Rule 2: Blacklist [BLOCK]
Rule 3: Common protection #1 [BLOCK]
Web ACL #1
ELB 1
(dev env)
Rule 4: Common protection #2 [BLOCK]
XSS match
Web ACL #2ELB 2
(prod env)
Spend less time by reusing WAF rules
ELB 3
(new app)

32. Provisioning AWS WAF
IP whitelist
internal IP
SQL injection
URL match
Rule 1: Whitelist [ALLOW]
IP blacklist
known bad
Rule 2: Blacklist [BLOCK]
Rule 3: Common protection #1 [BLOCK]
Web ACL #1
ELB 1
(dev env)
Rule 4: Common protection #2 [BLOCK]
XSS match
Web ACL #2ELB 2
(prod env)
Spend less time by reusing WAF rules
ELB 3
(new app)
Rule 5: CVE-­2016-­538 [BLOCK] Header match

33. AWS WAF rules 설정
CloudFormation template
AWS WAF Configuration
AWS CloudFormation을 사용하여 일반적인 웹 기반 공격을 필터링하도록 WAF
규칙을 자동으로 배포하는 솔루션 제공

34. AWS WAF rules 설정

35. Importing AWS WAF rules
Open source IP reputation lists

36. AWS Shield
Standard Protection Advanced Protection
추가 비용 없이 모든 AWS
고객에게 적용됨
추가적인 보호, 기능, 잇점을 제공하는
비용 기반 서비스

37. AWS Shield Standard
레이어 3/4

38. 보호
ü 자동 탐지 및 대응
ü 가장 흔한 공격유형에 대한 방어
(SYN/UDP

39. Floods,

40. Reflection

41.
Attacks,

42. 등)
ü AWS

43. 서비스에 밀결합
레이어 7

44. 보호
ü 레이어 7 디도스 공격 대응을
위해 AWS

45. WAF 활용
ü 셀프서비스 및 사용량 과금

46. • 일반적인 DDoS공격에 대한 보호
• AWS상에서 DDoS 방어를 강화하기
위한 도구 및 모범사례들을 이용
• 규모가 크고 복잡한 형태의 공격에 대한
추가적인 보호
• 공격에 대한 가시성 확보 및 AWS 사용 비용
보호
• L7 공격 보호 및 복잡한 공격들에 대한 24x7
의 DDoS 전문 대응팀 지원
Standard Protection Advanced Protection
관리형 DDoS 보호 서비스
AWS Shield Advanced

47. AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4

49. L7

50.
디도스 방어
공격 통보 및 리포팅24x7

51. 기반 DDoS

52. 대응 팀
연계
AWS

53. 청구 보호

54. But what does a jellyfish have
to do with compliance?
감사 증적
• 많은 수의 컴플라이언스
감사작업에서 임의 시간에
시스템상태에 대한 접근을 필요 (i.e.,
PCI, HIPAA)
• 모든 리소스와 그것들의 구성정보에
대한 완벽한 인벤토리는 어떤
순간에도 활용 가능해야 한다.

55. 모든 작업은 API
콜로 처리됨...
사용하는 서비스와
인스턴스들이 늘어
남에 따라 …
CloudTrail은
계속해서 모든
API 요청들에
대해 신뢰성 있는
기록을 수행…
AWS CloudTrail
AWS상의 모든 관리작업에 대한 로깅

56. AWS Config
AWS 리소스에 대한 인벤토리 관리와 구성정보 변경관리 및 통보(AWS SNS)
변경 관리
감사
컴플라이언스
보안 분석 Troubleshooting Discovery
보안 분석: 나는 안전한가요?
규정 감사: 어디에 증거가 있나요?
변경 관리: 이 변경에 대한 영향은?
문제 해결: 무엇이 변경되었나요?

57. AWS Config Relationships
AWS 리소스에 대한 인벤토리 관리와 구성정보 변경관리 및 통보(AWS SNS)

58. Resource Relationship Related Resource
Customer Gateway is attached to VPN Connection
Elastic IP (EIP) is attached to Network Interface
is attached to Instance
Instance contains Network Interface
is attached to Elastic IP (EIP)
is contained in Route Table
is associated with Security Group
is contained in Subnet
is attached to Volume
is contained in Virtual Private Cloud (VPC)
Internet Gateway is attached to Virtual Private Cloud (VPC)
AWS Config

59. AWS Config Rules
• 변경된 내역에 대해 검증하는 규칙 설정
• AWS가 제공하는 내장된 규칙 사용
• AWS Lambda를 활용한 커스텀 규칙 지원
• 지속적인 진단수행을 자동화
• 컴플라이언스 시각과나 위험한 변경을 식별하기 위해 대쉬보드 제공

60. AWS Config Rules

61. AWS Config Rules

62. AWS Service Catalog
• 사용이 승인된 IT 서비스 카탈로그를 생성하고 관리
Ø VM 이미지, 서버, 소프트웨어, 데이터베이스
• 배포된 IT 서비스를 중앙에서 관리
• 일관된 거버넌스를 달성하고 규정 준수 요건을 충족하는 도움
• 기업 표준 규정 준수 보장
• 직원이 승인된 IT 서비스를 신속하게 검색 및 배포하도록 지원

63. Portfolio 생성
제약사항 추가
및 접근 허용
1
4
5
관리자
포트폴리오(Portfolio)
사용자
Products 검색(Browse)
6
Products 생성(Launch )
AWS 클라우드포메이션
템플릿
Product
생성
3Template
작성(Authors)
2
ProductX ProductY ProductZ
7
스택(Stacks)
배포
이벤트(Events) 전송
이벤트(Events) 전송
8
8
사용자 서비스 생성
및 접근 허용
서비스를 찾고
생성하기 위한
개인화된 포털
사용
AWS Service Catalog
AWS 리소스 생성 및 관리용
셀프서비스 포털

64. 컴플라이언스 – AWS Artifact
Self-­Service
• SOC
• PCI
• ISO

66. 컴플라이언스를 보다 쉽게 만들어 드립니다.
AWS SOLUTION: Marketplace Program – Allgress

67. 컴플라이언스를 보다 쉽게 만들어 드립니다.
AWS SOLUTION: Marketplace Program – Allgress

68. 인프라 보호 로깅 모니터링 구성 및 취약점 제어 데이터 보호
aws.amazon.com/mp/security
계정 및 접근제어
Deep Security-­as-­a-­Service
VM-­Series Next-­
Generation
Firewall Bundle 2
vSEC
Web Application
Firewall
Unified Threat
Management 9
FortiGate-­VM
SecureSphere WAF
CloudInsight
Security Platform
(ESP) for AWS
SecOps
Log Management Analytics
Enterprise
Cost Security Management
DataControl
Transparent
Encryption for AWS
SafeNet ProtectV
Identity Access
Management or AWS
Security Manager
OneLogin for AWS
Identity Management
for the Cloud
§ One-­click launch
§ Ready-­to-­run on AWS
§ Pay only for what you use
필요에 따라 네트워크/보안 관련 다양한
솔루션들을 선택하실 수 있습니다.

71. “AWS와 긴밀한 협조하에
보안 모델을 개발하여, 우리 자체
데이터센터에서 하는 것 보다
더 안전하게 퍼블릭 클라우드를 운영할 수
있게 되었습니다”
– Rob Alexander, CIO, Capital One

72. 더 이상 보안은
클라우드 도입을 가로막는
걸림돌이 아닙니다!

73. Thank you!
함께 해주셔서 감사합니다!

74. https://www.awssummit.kr
AWS Summit 모바일 앱을 통해 지금 세션 평가에
참여하시면, 행사 후 기념품을 드립니다.
#AWSSummitKR 해시태그로 소셜 미디어에
여러분의 행사 소감을 올려주세요.
발표 자료 및 녹화 동영상은 AWS Korea 공식 소셜
채널로 공유될 예정입니다.
여러분의 피드백을 기다립니다!