[Games on AWS 2019] AWS 입문자를 위한 초단기 레벨업 트랙 | AWS 레벨업 하기! : 보안 - 최원근 AWS 솔루션즈 아키텍트

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 레벨업하기! : 보안
최원근, AWS Solutions Architect

오늘의 주제

AWS WAF AWS ShieldAWS Identity and
Access Management
(IAM)

AWS IAM

IAM(Identity and Access Management)이란?
• IAM 은 AWS 서비스와 자원에 대한 안전한 제어권을 제공
• AWS 자원에 대한 사용자별, 그룹별로 권한을 부여하고 관리함
• IAM 을 통해 현재 자사의 디렉토리 시스템을 AWS 서비스와 연동가능하며,
이를 통해 별도의 계정추가 없이 AWS 자원에 대한 접근 가능
• IAM 사용에 대한 별도의 비용은 없음

IAM 11가지 Best Practice
1. Users – 개별 사용자 생성 후 사용.
2. Permissions – 최소 권한만 할당.
3. Groups – 그룹을 이용한 권한 관리.
4. Conditions – 적절한 조건을 활용한 접근 권한 제한.
5. Auditing – AWS CloudTrail 활성화를 통한 API 로그 감사
6. Password – 복잡한 암호 사용 정책
7. Rotate – 주기적인 보안 계정 변경 정책
8. MFA – 관리자 계정에 대한 MFA 활성화
9. Sharing – IAM Role 을 통한 공유 자원 접근 허용
10. Roles – 임시 보안 자격 증명의 사용
11. Root – Root 사용 금지

MFA (Multi-factor Authentication) – 멀티팩터 인증
• AWS 아이디 및 비밀번호 유출에 대비 할수있는 보안 강화 수단
• 계정 정보 보호를 위한 추가적인 보호방법
• Master Account (Root)
• IAM 개별 사용자
• 다음의 환경에 연동됨
• AWS 관리 콘솔
• AWS 포털의 주요 페이지
• S3 (Secure Delete)
• 가상 MFA 디바이스 및 하드웨어 MFA 디바이스
안드로이드 아이폰

Access Key 로테이션
• 인증서 및 KEY 를 주기적으로 교체하는 것을 권고
• 분실이나 해킹으로 인한 유출의 위험성을 감소시킴
• 어플리케이션의 가용성에 영향을 끼치지 않고 키를 교체하는 방법:
• AWS 는 동시에 복수개의 Access key 와 Certificate 를 지원함
• 고객은 어플리케이션의 Downtime 없이 key 와 certificates 를 운영중에 변경할수 있음
• AWS IAM API는 고객 계정 및 IAM 계정에서
사용하는 KEY 를 교체할수있는 기능을 제공

임시 보안 자격 증명 (Temporary Credentials)
• 임시보안 인증 포함사항
• 인증을 위한 Identity
• Access Policy to control permissions
• 설정 가능한 만료기한 (1 – 36 hours)
• 지원 범위
• AWS Identities (including IAM Users)
• Federated Identities (users customers authenticate)
• 뛰어난 확장성 제공
• 모든 사용자에 대해 IAM Identity 생성이 불필요
• 사용사례
• AWS API 와의 Identity 연동
• 사용자 Identity 연동
• 모바일 및 브라우저 기반 어플리케이션들
• 사용자 제한이 없는 컨슈머 어플리케이션

IAM Policy
• 서비스 및 리소스에 대한 사용 권한을 명시하는 정책(Policy) 설정
• 만들어진 IAM정책은 IAM 사용자, IAM 그룹 또는 SNS Topic 이나 S3 Bucket 과 같은
자원(Resource)에 부여될수 있음
Principal
Action
Resource
Condition
{
"Statement":[{
"Effect":"effect",
"Principal":"principal",
"Action":"action",
"Resource":"arn",
"Condition":{
"condition":{
"key":"value" }
}
}
]
}

Principal – 예제
• 리소스에 접근이 허용되거나 거부되는 대상
• Amazon Resource Name (ARN) 으로 지정

"Principal":"AWS":"*.*"

"Principal":{"AWS":"arn:aws:iam::123456789012:root" }
"Principal":{"AWS":"123456789012"}

"Principal":"AWS":"arn:aws:iam::123456789012:user/username"

"Principal":{"Federated":"www.amazon.com"}
"Principal":{"Federated":"graph.facebook.com"}
"Principal":{"Federated":"accounts.google.com"}

"Principal":{"AWS":"arn:aws:iam::123456789012:role/rolename"}

"Principal":{"Service":"ec2.amazonaws.com"}

Action – 예제
• 허용되거나 거부되는 접근 타입을 기술
• “Action” 이나 “NotAction” 을 반드시 기술
• Policy Editor 나 AWS 공식 문서를 통해 사용 가능한 Action 확인

"Action":"ec2:StartInstances"

"Action":"iam:ChangePassword"

"Action":"s3:GetObject"

"Action":["sqs:SendMessage","sqs:ReceiveMessage"]
<--Use wildcards (* or ?) as part of the action name. This would cover
Create/Delete/List/Update-->
"Action":"iam:*AccessKey*"

Resource – 예제
• 요청 대상 객체나 객체들을 기술
• “Resource” 이나 “NotResource” 을 반드시 기술
<-- S3 Bucket -->
"Resource":"arn:aws:s3:::my_corporate_bucket/*"
<-- SQS queue-->
"Resource":"arn:aws:sqs:us-west-2:123456789012:queue1"
<-- Multiple DynamoDB tables -->
"Resource":["arn:aws:dynamodb:us-west-2:123456789012:table/books_table",
"arn:aws:dynamodb:us-west-2:123456789012:table/magazines_table"]
<-- All EC2 instances for an account in a region -->
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*"

Condition – 예제
"Condition" : {
"DateGreaterThan" : {"aws:CurrentTime" : "2015-10-08T12:00:00Z"},
"DateLessThan": {"aws:CurrentTime" : "2015-10-08T15:00:00Z"},
"IpAddress" : {"aws:SourceIp" : ["192.0.2.0/24", "203.0.113.0/24"]}
}
AND
OR
Condition element
Condition 1:
Key1: Value1A
Condition 2:
Key3: Value3A
AND
AND
Key2: Value2A OR Value2B
OR ORKey1: Value1A Value1B Value 1C

Cross Account API Access
• 특정 사용자가 다른 어카운트의 자원
사용이 필요할 경우
• IAM Role을 통해 권한 부여
• Role은 두가지 정책을 가짐:
• 누가 어떤 Role 에 대한 권한을 가지는지
• 해당 role이 무엇을 할수있는지
Entity can assume MyRole under account 111122223333
{ "Statement": [
{
"Effect": "Allow",
"Action": “sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/MyRole"
}
]
}
How to define who can assume the role using the console

IAM Policy Simulator
• IAM 사용자나 그룹에 할당되어 있는 하나 혹은 다수의 권한 정책들을
테스트 가능
• 아직 할당되지 않은 권한 정책을 타이핑 하거나 복사해서 테스트 가능
• 만들어진 정책이 특정 서비스나 특정 Action 에 맞게 제대로
동작하는지를 사전 검증 가능
• 권한 정책중 어떤 항목이 서비스 및 자원에 대한 접근 허가 및 거부를
하지는 확인
• IP Address 나 날짜와 같은 컨티션 Key 를 명시하여 실제 시나리오에
대한 검증
• 시뮬레이터는 실제 해당 Action 을 취하지는 않으므로 안전한 사전 검증
가능
• * Policy Simulator 링크:
https://policysim.aws.amazon.com/home/index.jsp?#

AWS WAF

AWS WAF 살펴보기

웹 방화벽(WAF)이란?
• Web Application Firewall (WAF): HTTP트래픽에 대하여 특정한 규칙을 적용하기 위한 어플라이언스, 웹서버 플러그인/필터 형태의 보안
제품.
• 중요 데이터 유출사고 및 서비스 중단 등을 발생시킬 수 있는 웹싸이트 또는 어플리케이션에 대한 공격 방어
• 일반적인 사용 케이스
• 취약점 이용한 공격을 방어(SQL Injection, Cross Site Scripting (XSS))
• 악의적인 요청 대응(Web Crawler, Scrapers, Direct links)
• L7 디도스 완화(HTTP/HTTPS floods)
데이터베이스웹 서버WAF
정상 접근
악의적인 접근

기존 웹 방화벽(WAF)의 문제
• 제대로 구축하기가 어렵고 시간이 많이 걸림
• 오탐율이 많은 규칙들
• 트래픽이 폭증할때 확장에 한계
• 자동화를 위한 API 부족
• 유지보수에 과다한 노력 필요

AWS WAF의 특장점
 쉽게 구성  유연한 커스터마이징  개발과 통합
…그리고 사용한 만큼만 지불

AWS WAF 제공 기능
CloudFront/ALB/API Gateway
워크로드 보호
트래픽 필터링
API 및 관리 콘솔
실시간 모니터링 및 리포팅

AWS CloudFront/ALB*/API Gateway
워크로드 보호
* ALB = Application Load Balancer

CloudFront/ALB/API Gateway 워크로드 보호
WEB/WAS
www.a.com
CloudFront edges
사용자
Safe
Traffic
Edge Location
Edge Location
WAF
WAF
해커
악성 봇
적법 접근
SQL인젝션,
XSS, ..
WEB/WAS
WAF
Classic ELB
Application Load Balancer
사용자
적법 접근

AWS WAF: 동작 개요
CloudFront로 컨텐츠에
대한 HTTP/HTTPS요청
전달
WAF 요청을 검사하고
결과를 CF로 리턴
(allow/deny)
CF에서 WAF의 검사를
받아야 하는지를 판단
WAF는 CW로 메트릭
전송; API를 이용하여
규칙 업데이트
CloudFront에 의해 요청된 컨텐츠 전송CloudFront에 설정된 Error페이지 전송

트래픽 필터링
* ALB = Application Load Balancer

필터링 구조
1. Web Access Control Lists (WebACL)
• ‘정책’, ‘시나리오’, Rule들의 집합
• 각 Rule 별로 처리방법(Action) 설정
2. Rules
• condition들의 집합
3. Condition
• 문자열, 크기제한 정규식 패턴
• SQLi、XSS
• IP 주소대역, 지리적인 위치(국가)
4. Action
• Allow/Block/Count
5. Resource
• CloudFront Distribution
• ALB Endpoint
Web ACL
Rule A
Condition 1
Condition 2
Condition 3
Action
Rule B
Condition 1
Condition 4
Action
Order
・
・
・

필터링 구조 : 구성 절차
1) WebACL 생성
2) 필요한 Conditions (IP, string, SQLi 등) 생성
3) 필요한 Rules 생성 및 Action/Order 설정
4) 생성된 WebACL을 CloudFront 혹은 ALB 리소스에 연계
5) 리뷰 및 적용

필터링 구조 : WebACL
• WebACL은 conditions, rules, actions의 집합.
• WebACLs 한개 이상의 CloudFront distribution 혹은 ALB Endpoint와
연계될 수 있음.
• WebACLs 실시간 메트릭 정보와 Rule별 샘플링 된 웹 요청 처리 내역을
제공.
OR

필터링 구조 : Rules
• Condition들과 처리규칙(Action)의 집합.
• Rule에 연결되는 Action의 유형:
• Block
• Allow
• Count – 최초 적용시, 학습모드 권장
• Rule은 복수개의 Condition들이 “AND” 조건으로 구성됨.
• Rule Types:
• Regular rule
• Rate-based rule – 요청 IP별 5분당 요청수 기준(최소 2,000건), 넘는 IP차단
• 복수개의 WebACL에 중복 포함 가능
AND

AWS WAF: Rule 설정 방식 비교
Negative
• 주로 운영 환경에 적용
• 디폴트로 ALLOW 모드
• 알려진 위협에 대한 BLOCK 처리
Positive
• 주로 제한된 환경에 적용
• 디폴트로 BLOCK 모드
• 허용해도 되는 접근만 ALLOW
처리
Examples
• BLOCK MalwareIncIPRange
• BLOCK “{;}”
Examples
• ALLOW SeattleOfficeIPRange
• ALLOW referrer header “example.com”

필터링 구조 : Conditions
• 복수개의 필터로 구성.
• 지원되는 Conditions:
• IP address Match
• Geographic Match
• String Match
• Regex Match
• Size Constraints
• SQLi Match
• XSS Match
• 한 Condition 내의 필터들 간에는 “OR” 조건
OR
OR
OR

필터링 구조 : Resource
• WebACL의 모든 부분을 재사용 가능.
• CloudFront Distribution / ALB Endpoint 를 보호 리소스로 설정
CloudFront
distributions
Web ACL #1
Web ACL #2
공유된 블랙리스트

AWS Shield
(for DDOS)

DDOS 공격 살펴보기

디도스 공격이란?
Distributed Denial Of Service

디도스 공격의 유형

물량기반 디도스 공격
정상적으로 처리할 수 있는 수준을 상회하는
트래픽을 전송하여 네트웍 기능을 마비시킴
(e.g., UDP reflection attacks)

상태 소진 형 디도스 공격
프로토콜 특성을 악용하여 방화벽, IPS,
로드밸런서 같은 시스템을 무력화
(e.g., TCP SYN flood)

어플리케이션 레이어 기반 디도스 공격
정상 요청으로 가장하지만, 방어수단을 우회하고
어플리케이션 리소스를 소진하기 위한 악의적인
요청을 통한 공격
(e.g., HTTP GET, DNS query floods)

디도스 방어를 위한 AWS의 접근방법

디도스 방어를 위한 AWS의 접근방법: 디도스 백서
https://d0.awsstatic.com/International/ko_KR/whitepapers/DDoS_White_Paper.pdf

AWS가 지향하는 목표는…
• AWS 글로벌 인프라에 적용
• 상시 운영, 외부 라우팅 없이 신속한 방어
• 여분의 AWS 데이터 센터 인터넷 연결성

AWS에 적용된 디도스 방어체계
• 가장 흔한 공격 유형들 방어
• SYN/ACK Floods, UDP Floods,
Refection attacks 등.
• 별도 비용 없음
디도스 대응
시스템
디도스 공격
사용자

고객들은 여전히…
AWS가 고객별로
디도스 공격을
방어해 주나요?
대규모로 디도스
공격이 발생하면 어찌
됩니까?
공격받을 때 어떻게
알 수 있죠?
AWS가 어플리케이션 레이어
공격도 방어합니까?
공격에 따른
스케일링 비용이
걱정되요
디도스 전문가와
상의하고 싶어요.

관리형 디도스 방어 서비스로서의 AWS
Shield 소개

AWS Shield의 두 계층
Standard Protection Advanced Protection
추가비용 없이 모든 AWS
고객에게 적용됨
추가적인 보호와 기능 및
잇점을 제공하는 비용 기반
서비스.

AWS Shield Standard
모든 AWS 고객에게 추가 비용 없이 적용되는 자동 보호
• 독자적인 BlackWatch 시스템을 이용한 향상된 방어
• 추가적인 방어 여력
• 탐지 및 방어 수준의 지속적인 향상에 대한 약속
• 추가비용 부담 없음
• Layer 3/4 (네트워크 및 전송 계층) 디도스 공격에 대한 보호 보호
• AWS 서비스에 적용: Amazon CloudFront 및 Amazon Route 53

AWS Shield Advanced
AWS상에서 운영되는 여러분들의 어플리케이션에 대한 더 높은 수준의 보호
• AWS Shield Standard에 적용되는 기능/특징은 (당연히) 기본 포함
• 정교한 대규모 DDoS 공격에 대한 추가 보호 및 완화, 거의 실시간의 공격 가시성, 웹
애플리케이션 방화벽 AWS WAF와의 통합, AWS DRT(DDoS Response Team)에 대한 24X7
액세스를 제공
• DDoS 관련 트래픽 급증 시 Amazon Elastic Compute Cloud(EC2), Elastic Load Balancing(ELB),
Amazon CloudFront, AWS Global Accelerator 및 Amazon Route 53 요금 보호를 제공
• Layer 7 (어플리케이션 계층) 디도스 공격에 대한 보호 보호
• AWS 서비스에 적용: Amazon Elastic Compute Cloud(EC2), Elastic Load Balancing(ELB), Amazon
CloudFront, AWS Global Accelerator 및 Amazon Route 53

Layer 3/4 보호 vs. Layer 7 보호
Layer 3/4 보호
 자동 탐지 및 대응
 가장 흔한 공격유형에 대한
방어 (SYN/UDP Floods,
Reflection Attacks, 등)
 AWS 서비스에 밀결합
Layer 7 보호
 레이어 7 디도스 공격 대응을
위해 AWS WAF 활용
 셀프서비스 및 사용량 과금

AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 &
L7 디도스 방어
공격 통보 및 리포팅
24x7 기반
DDoS 대응 팀 연계
AWS 청구 보호

AWS DDoS Shield 선택 방법 (Standard/Advanced)
• 대부분의 일상적인 디도스
공격의 방어를 위해
• AWS 상의 디도스 방어를 강
화하기 위한 도구 및 모범사
례들을 이용하고자 할 때
• 좀더 규모가 크고 복잡한 형태의
공격에 대한 추가적인 보호를 위
해
• 공격에 대한 가시성 확보를 위해
• 공격으로 인한 손해를 회피하기
위해
• 24X7 기반으로 디도스 전문사에
게 복잡한 케이스들을 요청하기
위해

AWS DDoS Shield: 이용 요금
https://aws.amazon.com/ko/shield/pricing/

여러분의 피드백을 기다립니다!
Games on AWS 2019 QR코드를 통해
강연평가 및 설문조사에 참여해 주시기 바랍니다.
여러분의 소중한 의견 부탁 드립니다.
#GamesOnAWS 해시태그와 함께
소셜미디어에 여러분의 행사 소감을 올려주세요.

AWS Korea 공식 소셜 채널에서
발표자료 및 녹화 동영상을 확인하세요.
발표자료 다운로드

감사합니다

[Games on AWS 2019] AWS 입문자를 위한 초단기 레벨업 트랙 | AWS 레벨업 하기! : 보안 - 최원근 AWS 솔루션즈 아키텍트

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to [Games on AWS 2019] AWS 입문자를 위한 초단기 레벨업 트랙 | AWS 레벨업 하기! : 보안 - 최원근 AWS 솔루션즈 아키텍트

Similar to [Games on AWS 2019] AWS 입문자를 위한 초단기 레벨업 트랙 | AWS 레벨업 하기! : 보안 - 최원근 AWS 솔루션즈 아키텍트 (20)

More from Amazon Web Services Korea

More from Amazon Web Services Korea (20)

[Games on AWS 2019] AWS 입문자를 위한 초단기 레벨업 트랙 | AWS 레벨업 하기! : 보안 - 최원근 AWS 솔루션즈 아키텍트