Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

[AWS & 베스핀글로벌, 바이오∙헬스케어∙제약사를 위한 세미나] AWS 클라우드 보안

77 views

Published on

AWS와 함께 하는 바이오 ∙ 헬스케어 ∙ 제약사를 위한 클라우드 세미나
'안전하게 클라우드로 날자'

어떻게 하면 클라우드를 통한 디지털 혁신과 비즈니스 성장을 이룰 수 있을까요?

AWS 를 통해 어떤 기업들이 혁신적인 서비스를 제공하고 있을까요?
도입 후에는 어떤 변화가 있고 어떻게 관리해야 할까요?

지난 6월 8일. AWS와 클라우드 전문가 베스핀글로벌이 바이오 · 헬스케어 · 제약 고객들만을 위해 쉽고 빠르게 클라우드를 도입할 수 있는 방법을 제시하는 세미나를 진행했습니다.

클라우드가 뭔지 궁금하지만 잘 모르겠다면, 클라우드를 도입하고는 싶지만 어디서부터 시작해야 할지 감이 오지 않으신다면, 베스핀글로벌과 상의하세요.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

[AWS & 베스핀글로벌, 바이오∙헬스케어∙제약사를 위한 세미나] AWS 클라우드 보안

  1. 1. 강정희 SA AWS 클라우드 보안 보안 개요 AWS Solutions Architect
  2. 2. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 목차 1. AWS Security 2. AWS 책임 공유 모델 3. 사용자 및 접근 관리 4. 암호화 5. 감사지원 6. 네트웍 보안 7. AWS 보안 센터 8. HIPAA
  3. 3. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 1 AWS Security
  4. 4. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 클라우드 보안에 대한 여러분들의 생각은 어떠신가요?
  5. 5. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 기존 보안 방식의 한계 가시성 부족 낮은 수준의 자동화
  6. 6. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. OR비지니스 혁신 보안성 확보 기존에는…
  7. 7. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. ORAND 현재는… 비지니스 혁신 보안성 확보
  8. 8. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS에서 운영되고 있는 민감한 워크로드 “DNAnexus는 안전하고 규정에 따르는 환경에서 게놈 분석 및 임상 연구를 수행할 수 있는 플랫폼을 AWS를 통해 전 세계 기업에 제공할 수 있었습니다.” — Richard Daly, CEO DNAnexus “보안을 강화하기 위해 AWS 보안에 의지할 수 있다는 사실은 우리 비즈니스에 매우 중요한 요소입니다. AWS는 데이터센터에서 케이지로 시스템을 보호하는 기존 방식보다 훨씬 안전합니다.” — Richard Crowley, Director of Operations, Slack “AWS의 보안은 패치, 암호화, 감사, 로깅, 지원 정책 및 규정 준수 등 다양한 면에서 온프레미스 데이터센터보다 우수하다는 결론을 얻었습니다.” —John Brady, CISO, FINRA (Financial Industry Regulatory Authority)
  9. 9. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. “기업의 CIO와 CISO는 클라우드 보안에 대한 우려를 중단할 필요가 있습니다. 대신에, 클라우드 환경에서 운영되는 리소스 제어에 대한 새로운 접근법의 개발에 상상력과 에너지를 적용해서, 유비쿼터스 컴퓨팅 모델의 이점을 안전하고 규제를 준수하며 신뢰할 수 있게 활용해야 합니다.” 출처: Clouds Are Secure: Are You Using Them Securely?
  10. 10. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 통합된 보안 서비스를 활용한 자동화 글로벌 수준의 보안 적용과 규정 준수 높은 수준의 개인 정보와 데이터 보안 최대 규모의 보안 파트너 및 솔루션 네트워크 뛰어난 가시성과 통제를 수반한 확장 AWS로 전환하여 보안 상태 강화
  11. 11. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 글로벌 수준의 보안 적용과 규정 준수
  12. 12. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Key Management System (KMS)에서 관리하는 키를 사용하거나, FIPS 140-2 Level 3으로 검증된 Cloud HSM을 사용합니다. 이를 통해 자신이 소유한 암호화 키를 직접 관리하여 대규모 암호화를 수행합니다. 사용자가 AWS 리전을 선정하여 데이터 거주 요건을 충족합니다. 사용자가 데이터를 직접 다른 곳으로 전송하지 않는다면, AWS는 해당 리전에 위치한 데이터를 다른 리전으로 복제하지 않습니다. AWS상에서 규제를 준수하는 인프라를 구축할 수 있도록 서비스와 도구에 액세스할 수 있습니다. 콘텐츠, 라이프사이클 관리와 폐기 등 접근 권한을 관리하여 해당 국가/지역 의 개인 정보 보호법을 준수합니다. 개인정보를 위한 높은 수준의 보안
  13. 13. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 통합된 보안 서비스를 활용한 자동화 CloudWatch Events Amazon CloudWatch CloudWatch Event Lambda Lambda Function AWS Lambda GuardDuty Amazon GuardDuty 자동화된 위협 대응/조치
  14. 14. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 인프라 보안 로깅 및 모니터링계정 및 접근 제어 구성 및 취약점 분석 Data protection 최대 규모의 보안 파트너 및 솔루션 네트워크 인프라 보안
  15. 15. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 보안 엔지니어링 거버넌스와 위험, 규정 준수 보안 운영 및 자동화 입증된 전문성을 갖춘 컴피턴시 컨설팅 파트너 보안 엔지니어링
  16. 16. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS에서 보안은 최우선 순위의 과제입니다. AWS의 모든 고객들은 가장 보안 요건이 까다로운 고객들을 만족시킬 수 있게 구축된 데이터 센터와 네트웍 아키텍쳐의 안전함을 이용하실 수 있습니다.
  17. 17. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 2 AWS 책임 공유모델
  18. 18. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS 책임 공유 모델 시설 물리적 보안 컴퓨팅 인프라 스토리지 인프라 네트웍 인프라 가상화 레이어 (EC2) 강화된 서비스 엔드포인트 많은 IAM 기능들 네트웍 구성 보안 그룹 OS 방화벽 운영체제 어플리케이션 적절한 서비스 구성 인증 및 계정 관리 인가 정책 + = Customer . • AWS가 제공하는 책임 공유 모델의 타입에 따른 책임범위: Infrastructure, Container, Abstracted Services • 데이터와 시스템에 대한 안전에 관해 누가 무엇을 책임 질 것인가를 이해하는 기준!
  19. 19. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS 책임 공유 모델 – Infra. Service 고객 자료 플랫폼 및 어플리케이션 관리 운영체제, 네트웍, 방화벽 설정 클라이언트 측 데이터 암호화 및 데이터 무결성 인증 네트웍 트래픽 관리 암호화/무결성/인증 서버 측 데이터 및 파일 시스템 암호화 고객IAM AWS 엔드포인트 AWSIAM 네트워킹 데이터베이 스 스토리지컴퓨팅 엣지 로케이션 가용 영역리전 AWS 글로벌 인프라 구조 핵심 서비스 EC2기반, EBS, AutoScaling, VPC
  20. 20. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS 책임 공유 모델 – Infra. Service • 기반 서비스 – 네트워킹, 컴퓨팅, 스토리지 • AWS 글로벌 인프라 • AWS API 엔드포인트 AWS • 고객 데이터 • 데이터 보안(전송중, 저장시, 백업) • 고객 애플리케이션 • 운영체제 • 네트웍 & 방화벽 • 인스턴스 관리 • 고가용성, 스케일링 • 고객측 IAM (온프레미스 디렉토리 서버) • AWS IAM (사용자, 그룹, 역할, 정책) Customers
  21. 21. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS 책임 공유 모델 – Container Service Customer Data Client-side data encryption & data integrity authentication Network traffic protection encryption / integrity / identity Optional – Opaque data: 0s and 1s (in transit/at rest) Customer IAM AWS Endpoints AWSIAM NetworkingDatabasesStorageCompute Edge Locations Availability Zones Regions AWS Global Infrastructure Foundation Services Platform & Application Management Firewall Configuration Operating system & Network Configuration RDS, EMR, Elastic Beanstalk,…
  22. 22. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS 책임 공유 모델 – Container Service • 기반 서비스 – 네트워킹, 컴퓨팅, 스토리지 • AWS 글로벌 인프라 • AWS API 엔드포인트 • 운영체제 • 플랫폼/ 애플리케이션 AWS • 고객 데이터 • 데이터 보안(전송중, 저장시, 백업) • 방화벽 (VPC) • 고객측 IAM (DB 사용자, 테이블 퍼미션) • AWS IAM (사용자, 그룹, 역할, 정책) • 고가용성, 스케일링 Customers
  23. 23. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS 책임 공유 모델 – Abstract Service Customer Data Client-side data encryption & data integrity authentication AWS Endpoints AWSIAM NetworkingDatabasesStorageCompute Edge Locations Availability Zones Regions AWS Global Infrastructure Foundation Services Optional – Opaque data: 0s and 1s (in transit/at rest) Client-side data encryption provided by the platform protection of data at rest Network traffic protection provided by the platform protection of data in transit Platform & Application Management Operating system, network, and firewall configuration S3, DDB, Glacier, SQS, SES,…
  24. 24. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS 책임 공유 모델 – Abstract Service AWS • 고객 데이터 • 데이터 보안 (저장시– CSE) • AWS IAM (사용자, 그룹, 역할, 정책) Customers • 기반 서비스 – 네트워킹, 컴퓨팅, 스토리지 • AWS 글로벌 인프라 • AWS API 엔드포인트 • 운영체제 • 플랫폼/ 애플리케이션 • 데이터 보안 (저장시 - SSE, 전송중) • 고가용성, 스케일링
  25. 25. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS 책임 공유 모델 – Summary 고객측 IAM AWS IAM 방화벽 설정(S/G, NACL) 데이터 AWS IAM 데이터 어플리케이션 운영체제 네트워킹/방화벽 데이터 고객측 IAM AWS IAM Infrastructure Services Container Services Abstract Services
  26. 26. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS가 담당하는 부분 데이터 센터의 물리적 보안 • 아마존은 다년간 대규모 데이터 센터를 구축해 오고 있습니다. • 중요 속성: – 강력한 경계선 통제(perimeter controls) – 엄격한 물리 접근 통제. – 2개 이상 레벨의 멀티 팩터 인증 적용. • 최소한의 방문 목적 허용. • 모든 접근에 대한 로깅과 감사. • 명확한 직무분장. – 데이터 센터 직원들은 물리적인 접근 권한과 논리적인 접근권한을 동시에 갖지 못함.
  27. 27. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. • 대부분의 변경작업은 고객에 대한 영향을 최소화 하는 방식으로 진행됨. • 변경에 대한 인가, 로깅, 테스팅, 승인과 문서화. • 모든 변경 예정 내역에 대해 이메일 등을 통해 고객과 투명하게 의사소통. • 서비스 헬스 대쉬보드 (http://status.aws.amazon.com/) : 영향을 받을 만한 잠재적인 이벤트들 노출됨. 변경 관리 • 확장성 있고 장애 대비한 서비스들. • 모든 데이터 센터(AZs)들이 항상 가용함. • 동일한 규격으로 관리 • 확고한 인터넷 연결성 • 각 AZ 는 멀티플 티어 1 ISP 서비스 제공자를 가짐 • 복원력 있는 네트웍 인프라 지속적인 가용성 제공 AWS가 담당하는 부분
  28. 28. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. EC2 보안 • 호스트 운영체계 • AWS 운영자들은 개인별 SSH키와 bastion host를 통해 접근. • 모든 접근에 대한 로깅과 감사. • 게스트(인스턴스) 운영체계 • 고객이 통제 (고객이 루트/어드민 계정을 소유) • AWS 운영자는 로그인 불가 • Stateful 방화벽 • Layer 4, 디폴트 deny 모드. • 고객이 직접 보안그룹 설정 관리. 네트웍 보안 • 자체 설계된 표준화 제품 사용 • IP Spoofing이 호스트 O/S레벨에서 차단됨. • Packet sniffing이 하이퍼바이져 단에서 차단됨. • 허가되지 않은 포트 스캐닝 시, 서비스 중단 사유로 보고 블락 처리. • IP 주소 체크섬, 비정상 TCP 플래그 체크, UDP 페이로드 길이 체크, DNS 요청 헤더 검증. AWS가 담당하는 부분
  29. 29. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 디스크 관리 • 독자적인 디스크 관리 기능을 통해 타인의 데이터에 접근할 수 없도록 통제. • 사용 전 디스크 청소(Disk wiping). • 디스크는 고객이 직접 암호화를 적용할 수 있음. 스토리지 디스크 사용해제 (Decommissioning) • 모든 스토리지 디바이스들은 다음 기준에 따라 해제 처리됨: • DoD 5220.22-M (“National Industrial Security Program Operating Manual “). • NIST 800-88 (“Guidelines for Media Sanitization”). • 궁극적으로 모든 디바이스들은: • Degaussed. • 물리적으로 파쇄. AWS가 담당하는 부분
  30. 30. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS가 담당하는 부분에 대한 주요 규제/표준을 준수합니다.
  31. 31. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
  32. 32. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Data Center Digital Tour https://aws.amazon.com/ko/compliance/data-center/
  33. 33. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 책임 공유 모델에 대한 이해 AWS의 책임? 혹은 고객의 책임? EC2리눅스 인스턴스 별로 어떤 포트를 오픈할 것인지 설정하기 S3버킷에 서버 측 암호화 기능을 적용하기 최신 보안 패치를 운영체제에 적용하기 데이터 센터의 물리적 시설을 감시하기 위한 카메라 시스템 구축하기데이터센터를 벗어나는 디스크들을 파쇄처리하기 하이퍼바이져 레벨에서 패킷 스니핑 예방하기 AWS 데이터 센터의 내부 네트웍을 안전하게 보호하기 1 2 3 4 5 6 7
  34. 34. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 책임 공유 모델에 대한 이해 AWS의 책임? 혹은 고객의 책임? EC2리눅스 인스턴스 별로 어떤 포트를 오픈할 것인지 설정하기 S3버킷에 서버 측 암호화 기능을 적용하기 최신 보안 패치를 운영체제에 적용하기 데이터 센터의 물리적 시설을 감시하기 위한 카메라 시스템 구축하기데이터센터를 벗어나는 디스크들을 파쇄처리하기 하이퍼바이져 레벨에서 패킷 스니핑 예방하기 AWS 데이터 센터의 내부 네트웍을 안전하게 보호하기 1 2 3 4 5 6 7
  35. 35. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 3 사용자 및 접근 관리
  36. 36. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS 상의 AAA Authenticate 아이디/패스워드 Access Key (+ MFA) Federation Authorize IAM 정책 Audit CloudTrail
  37. 37. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 운영체제 / 플랫폼 사용자 • Identities: 개발자, DevOps, 시스템 엔지니어 어플리케이션 사용자 • Identities: 어플리케이션 사용자, 어플리케이션 운영자 사용자 분류 Amazon Web Services 사용자 • Identities: 개발자, DevOps엔지니어, 테스터, 소프트웨어/플랫폼 • AWS Identities 간의 상호작용: • EC2인스턴스와 EBS 스토리지 의 프로비져닝/디프로비져닝. • Load Balancer 구성. • S3 객체 나 DynamoDB 데이터에 대한 접근. • SQS 큐와의 상호작용. • SNS notification 전달.
  38. 38. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Principals Account Owner ID (Root Account) • 모든 서비스에 대한 접근. • 빌링 접근. • 콘솔과 API에 대한 접근. • 고객 지원(Customer Support)에 대한 접근. IAM Users, Groups and Roles • 특정 서비스에 대한 접근. • 콘솔, API에 대한 접근. • 고객 지원(Customer Support)에 대한 접근(Business and Enterprise). Temporary Security Credentials • 특정 서비스에 대한 접근. • 콘솔, API에 대한 접근. Note: MFA상시연계와 안전한 장소에 보관할 것을 권장!
  39. 39. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS 사용자 인증 인증 : 당신의 신원을 확인하는 방법은? AWS 관리 콘솔 Username / Password MFAToken (Recommended) Signed URL (Token) API MFAToken (Optional) Access/Secret Key(s) Temporary Access/Secret Key(s) Note: It is recommended to delete Root Access Keys. AWS does not store/retain your Secret Keys.
  40. 40. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. LDAP 디렉토리 Identity and Access Management User DB 어플리케이션과 운영체제에 대한 일반적인 접근 로컬 자격증명 저장소 활용 AWS Directory Service 도메인 컨트롤러 • VPN등을 통한 온프레미스 네트웍 연계. • AWS쪽에 복제 (read-only or read/write) • Federated (one-way trusts, ADFS). • AWS Directory Services를 통한 관리형 디렉토리 환경. • 로컬 Password (passwd) 파일 • 로컬 윈도우 관리자 계정 • 사용자 데이터 베이스
  41. 41. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS 디렉토리 서비스 IAM Roles을 통한 AWS 콘솔 이용 관리형 Active Directory 서비스 온프레미스 기 사용자 정보와 연계 AWS 상의 어플리케이션 제공되는 디렉토리 AD Connector: 온프레미스 Active Directory와 연계. Simple AD: Samba 4 기반의 관리형 AD 서비스. Microsoft AD EE: Windows 2012 R2기반의 관리형 AD
  42. 42. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Organizations 멀티 어카운트 환경에 대한 정책기반 관리기 어카운트 간 AWS 서비스 이용에 대한 통제(OCP) 통합 빌링AWS 어카운트 생성 과정 자동화
  43. 43. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Single Sign-On AD기반 IDP-SSO서비스 AWS 콘솔및 비지니스 어플리케이션에 대한 싱글 사인 온을 중앙 집중 관리하는 Cloud 기반 Single Sign-On (SSO) 서비스 복수개의 AWS Account를 이용한 AWS 콘솔 접근을 중앙관리 쉽게 적용.기 운영중인 사용자 정보 저장소 활용 기타 비지니스 어플리케이션에 대한 SSO 접근 관리
  44. 44. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 4 암호화
  45. 45. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Encryption. 전송 중 및 저장 시 데이터 보호. 자세한 정보가 담긴 백서 - http://d0.awsstatic.com/International/ko_KR/whitepapers/Compliance/AWS_Securing_Data_at_Rest_with_Encryption.pdf 전송 중 암호 HTTPS SSH SSL/TLS VPN Object 저장 시 암호화 Object Database Filesystem Disk
  46. 46. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 저장 시 암호화 볼륨 암호화 EBS 암호화 Filesystem 도구 AWS Marketplace/Partner 객체 암호화 S3 서버 측 암호화(SSE) S3 SSE w/ 고객 제공 키 클라이언트 측 암호화 Database 암호화 Redshift KMS RDS Postgre KMS RDS MYSQL KMS RDS ORACLE TDE/HSM RDS MSSQL TDE
  47. 47. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Certificate Manager • Amazon CA가 발급한 신뢰할 수 있는 SSL/TLS인증서(DV인증서) 제공: • Elastic Load Balancing, CloudFront distributions, API G/W, Elastic Beanstalk, CloudFormation • AWS 기대효과 • 안전한 키페어 관리 및 CSR 과정 대체 • 갱신 및 배포 과정 대행 • 무료 • AWS 서비스들 과의 원활한 연계 • 도메인 네임 • 단일 도메인: www.example.com • 와일드 카드: *.example.com • 한장의 인증서로 10개까지 도메인 지원 • 제약조건 • 13개월짜리 발급 및 60일 전부터 갱신 가능 • DV용도로 제한 : EV, OV, 범용, 코드싸이닝, 메일암호화에 적용 불가 • 개인키 다운로드 불가 • 사용 알고리즘 • 공개키 : RSA 2048 • 서명 : RSA with SHA-256 • CRL 및 OCSP 지원 ACM 모범사례 : https://docs.aws.amazon.com/ko_kr/acm/latest/userguide/acm-bestpractices.html#best-practices-pinning
  48. 48. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Key Management Service CustomerMaster Key(s) Data Key 1 Amazon S3 Object Amazon EBS Volume Amazon Redshift Cluster Data Key 2 Data Key 3 Data Key 4 암호화키를 안전하게 생성/보관/관리 해주는 관리형 서비스 중앙 집중 암호화 키 관리: EBS S3 Redshift AWS SDK AWS CloudTrail KMSCryptographicDetails : https://d0.awsstatic.com/whitepapers/KMS-Cryptographic-Details.pdf KMS Best Practices : https://d0.awsstatic.com/whitepapers/aws-kms-best-practices.pdf
  49. 49. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Key Management Service Integrated with Amazon EBS
  50. 50. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS CloudHSM AWS CloudHSM AWS Administrator– manages the appliance You – control keys and crypto operations Amazon Virtual PrivateCloud 전용 하드웨어를 통해 데이터 보안 관련 컴플라이언스 규정 준수를 위한 Hardware Security Module 어플라이언스에 대한 관리형 서비스암호화 키 • 고객 전용 키관리 인프라(HSM) • Clustering, HA • Autoscaling • FIPS 140-2 L3 • 고객 사용 사례: • Oracle TDE • Setup SSL connections(SSL 가속) • Digital Rights Management (DRM) • Document Signing
  51. 51. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 5 감사 지원
  52. 52. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS CloudTrail 로그를 제공하기 위해 AWS API 요청을 기록하는 웹서비스. CloudTrail 콘솔 AWS SDK CL I S 3 AWS 파트너 네트웍 ElasticSearc h EMR/Redshift
  53. 53. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS CloudTrail
  54. 54. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS CloudTrail + Athena CloudTrail 로그에 대한 Athena활용 분석(표준 SQL)
  55. 55. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS CloudTrail + Athena Athena로 CloudTrail 로그 분석하는 Blog [Cases] • Amazon EC2 security group 변경 조회 • Console Sign-in activity 조회 • Operational account activity Link  https://aws.amazon.com/blogs/big- data/aws-cloudtrail-and-amazon-athena-dive- deep-to-analyze-security-compliance-and- operational-activity/
  56. 56. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS CloudWatch AWS리소스와 AWS기반 어플리케이션에 대한 모니터링 서비스 로그 수집 및 모니터링 경보 설정 (변경에 대한 반응) 그래프 및 통계 수치 제공 메트릭 데이터 수집 및 추적 제공하는 기능 활용 케이스 어플리케이션 로그 수집 및 중요 이벤트 자동 대응 EC2인스턴스 오토스케일링 운영 상태 가시화 및 이슈 식별 CPU, Memory, Disk I/O, Network 모니터링 CloudWatch Logs / CloudWatch Events CloudWatch Alarms CloudWatch Dashboards CloudWatch Metrics
  57. 57. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS CloudWatch Events 중요 이벤트에 대한 대응 규칙 설정 Detect malicious API and automate response. If trail.delete { trail.enable & email.security_team}
  58. 58. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Inspector • Agent 기반 - 어플리케이션 보안 수준 진단 • 보안 진단 결과 – 가이드 제공 • API를 통한 자동화 • Rule Package • Common Vulnerabilities & Exposures • CIS Secure Configuration Benchmarks • Security Best Practices • Runtime Behavior Analysis
  59. 59. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Inspector
  60. 60. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Config & Config Rules • Config : AWS리소스의 변경사항을 추적하고 감사하는 서비스 • Config Rules : 해당 변경 사항이 기준 정책에 위반될 때, 대응 규칙 실행(경보, 차단 등 AWS Lambda활용). 변경된 리소스들 AWS Config Config Rules 이력, 스냅샷 통지 API 접근 정규화 AWS Config는 다음 질문에 대한 해답을 드리는 일종의 렌즈역할을 합니다  나의 리소스들이 시간이 흐르면서 어떤식으로 설정되어 지고 있는가?
  61. 61. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Config
  62. 62. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Config Rules Config Rules Git hub 저장소: https://github.com/awslabs/aws-config-rules Config Rules – Managed Rule
  63. 63. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Macie 데이터 분류 자연어 처리 기술 (NLP) 데이터 접근에 대한 이해 Machine Learning
  64. 64. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Trusted Advisor
  65. 65. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 6 네트웍 보안
  66. 66. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Cloud 내에 격리된 사설 네트워크를 생성 AvailabilityZoneA AvailabilityZoneB AWS Virtual Private Cloud • 논리적으로 분리된 일종의 가상 사설망을 제공 • VPC상에서 사설 IP대역을 선택 • 적절하게 서브넷팅하고 EC2 인스턴스를 배치 AWS network security • AWS 는 IP Spoofing과 같은 레이어 2 공격을 차단. • 소유하지 않은 EC2인스턴스에 대한 스니핑 불가 • 외부와의 모든 라우팅과 연결을 통제
  67. 67. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. VPC security Route Table Route Table Internet Gateway Virtual Private Gateway Virtual Router VPC 10.1.0.0/16 1. Route Table • Subnet 단위 2. Network ACL • Subnet 단위 • Stateless • Allow/Deny • Rule # ordering 3. Security Group • 인스턴스 단위 Attach • Stateful • Allow only 1 2 3
  68. 68. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. VPC 서브넷, 보안그룹, NACL 웹/어플 리케이 션 서버 DMZ 퍼블릭 서브넷 ssh bastion 사용자 관리자 인터넷 AmazonEC2 보안그룹 ELB 보안그룹 Managed NAT 보안그룹 frontend 프라이빗 서브넷 TCP:8080 Amazon EC2 securitygroup TCP: 80/443 backend 프라이빗스브넷 TCP: 1433; 3306 MySQL MySQL securitygroup TCP: Outbound TCP:22
  69. 69. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. VPC Flow Log • Amazon EC2 인스턴스의 트래픽 패턴 제공 • Amazon CloudWatch로 데이터 공급 https://aws.amazon.com/blogs/aws/vpc-flow-logs-log-and-view-network-traffic-flows/ 누가 = SourceIP 언제 = Start/EndTime 어느 서비스 = Destination IP/ENI 어떤 포트로 = Destination Port 얼 만큼의 트래픽이 = Bytes/Packets 접속시도 결과 =Accept/Reject
  70. 70. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. VPC Flow Logs • Agentless • Netflow 와 유사 • ENI당, subnet당, VPC당 활성화 • AWS CloudWatch Logs에 로깅 • CloudWatch 메트릭 생성하고 Alarm설정 AWS Account ID Source IP Destination IP Source port Destination port Interface IANA Protocol # Packets Bytes Start/end time(unix time) Accept or reject Blog : How to Visualize and Refine Your Network’s Security by Adding Security Group IDs to Your VPC Flow Logs https://aws.amazon.com/ko/blogs/security/how-to-visualize-and-refine-your-networks-security-by-adding-security-group-ids-to-your-vpc-flow-logs/#more-3559
  71. 71. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Serverless architecture for analyzing VPC Flow Logs Blog : Analyzing VPC Flow Logs with Amazon Kinesis Firehose, Amazon Athena, and Amazon QuickSight https://aws.amazon.com/blogs/big-data/analyzing-vpc-flow-logs-with-amazon-kinesis-firehose-amazon-athena-and-amazon-quicksight/
  72. 72. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. VPG, Direct Connect AWS AWS Direct Connect 고객 DC 기업용 App 빅 데이터 분석 개발/ 테스트 기업용 App AWS Internet VPN
  73. 73. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS WAF WEB/WAS www.a.com CloudFront edges 사용자 Safe Traffic EdgeLocation EdgeLocation WAF WAF 해커 악성 봇 적법 접근 SQL 인젝션, XSS, .. WEB/WAS WAF Classic ELB Application Load Balancer 사용자 적법 접근
  74. 74. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Standard Protection Advanced Protection 추가비용 없이 모든 AWS 고객에게 적용됨 추가적인 보호와 기능 및 잇점을 제공하는 비용 기반 서비스. AWS Shield
  75. 75. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 상시 모니터링 및 탐지 고도화된 L3/4 & L7 디도스 방어 공격 통보 및 리포팅24x7 기반 DDoS 대응 팀 연계 AWS 청구 보호 AWS Shield Advanced
  76. 76. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS GuardDuty
  77. 77. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 필요에 따라 다양한 솔루션들을 선택하실 수 있습니다. 인프라 보안 로깅 모니터링 계정 및 접근제어 구성 및 취약점 제어 데이터 보호 Saa S Saa S Saa S
  78. 78. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 심층적 보안 AWS 컴플라이언스 프로그램 제 3 자 감독 물리적 환경 보안 그룹 VPC 구성 네트웍 웹 방화벽 Bastion Hosts 통신 중 암호화 강화된 AMI 패치관리 IAM Role IAM 자격증명 시스템보안 논리적 접근제어 사용자 인증 저장 시 암호화 데이터보안
  79. 79. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 7 AWS 보안 센터
  80. 80. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS 보안 센터 다양한 보안 정보 및 문서를 제공하는 AWS 보안 포털: http://aws.amazon.com/ko/security/ 보안 백서 • 보안 프로세스 소개 • AWS 리스크 및 컴플라이언스 • AWS 보안 베스트 프랙티스 보안 리소스 취약점 리포팅 침해 테스팅 신청 절차 Report Suspicious Emails 보안 게시판
  81. 81. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 보안 리소스 및 블로그 https://aws.amazon.com/ko/blogs/korea/category/security/ AWS 보안 블로그AWS 보안 백서 https://aws.amazon.com/ko/blogs/korea/ko-whitepapers/
  82. 82. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Assurance Program http://aws.amazon.com/ko/compliance/pci-data-privacy-protection-hipaa-soc-fedramp-faqs/
  83. 83. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 8 HIPAA
  84. 84. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. HIPAA https://aws.amazon.com/ko/compliance/hipaa-compliance/
  85. 85. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Quick Starts https://aws.amazon.com/quickstart/
  86. 86. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. HIPAA on AWS : Quick Starts https://aws.amazon.com/ko/quickstart/architecture/accelerator-hipaa/
  87. 87. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. “기존에는 서버의 구성과 업데이트를 수작업으로 진행하거나 제한된 자동화로 진행되었고, 구성 관리의 장점을 최대한 활용하지 못했습니다. 하지만, 지금은 모든 서비스가 도커 컨테이너로 구축되었고, Amazon ECS를 사용하여 손쉽게 배포하고 확장할 수 있는 환경이 되었습니다. 그리고, 우리는 12개월도 안되는 기간 내에 - HIPAA 규제를 준수하며 - AWS 클라우드로 100% 마이그레이션을 하였고, 이를 통해 월 600만 명의 환자를 처리하도록 비즈니스를 확장하고 보안 수준을 높일 수 있었습니다.” • 12개월 이내에 AWS로 올인하여 전환하였고, HIPAA 규정을 준수한 조직이 되었습니다. • 뉴욕에 본사를 둔 스타트업으로, 한 달에 600만 명의 환자를 수용할 수 있도록, ‘코드화된 인프라’를 활용하여 확장하였습니다. • 데이터 분석 – 데이터를 사용하여 환자를 위한 더 많은 솔루션을 혁신하고 추진하여 환자의 대기 시간을 24일에서 24시간으로 단축하였습니다. • AWS를 사용하여 환자의 데이터에 대해 엔드투엔드 가시성을 유지합니다. 온라인 의료 스케쥴링
  88. 88. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 감사합니다. https://aws.amazon.com/security/ https://aws.amazon.com/compliance/ 완료
  89. 89. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 9 보안 항목 별 맵핑
  90. 90. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 분류 항목 솔루션 맵핑 AWS 파트너 네트워크 구성 DMZ망, 서버/DB망, 관리 망 네트워크 분리 • 망분리: VPC & subnet • IDC 연계: Direct Connect, VPN • Private채널: Private Endpoint • VDI : Workspace • BP : Multi-VPC, Multi-Accounts • Overlay Network : VNS3, Stealth • VDI : CGX 3D Desktop, vDesktop • WAN가속기 네트워크 접근통제 DMZ망, 서버/DB망, 관리 망 접근통제 정책 준수 • 관리망: Bastion Host • DMZ망(outbound): NAT G/W • 서버/DB망: NACL, Security Group • 라우팅 통제: Routing table, Peering, DHCP • 인터넷 통제: Internet G/W • Private 채널 통제: Endpoint Policy • RDS 접근제어 : RDS S/G, Oracle Label Sec, • 서버 접근제어: iGRIFFIN, HI-WARE • DB접근제어: Charkra MAX, DB Safer, Database Securit y and Compliance, Hexatier, SecureSphere DB F/W 클라우드 내 서버/DB와 회 사망 간 암호화 통신 • VPN연결 • 서버간 TLS 연결 • VPN : CSR 1000V, vSEC, SteelConnect, CloudVPN, Op enVPN • 서버간 암호화 통신 : Stealth 서버-클라이언트간 중요 정보 암호화 • 무료인증서 발급: Certificate Manager • CDN(CloudFront)-PC간 HTTPS암호화 • L4(ELB)-PC간 HTTPS, L7(ALB)-PC간 HTTPS • RDS-Client간 SSL • N/A 접근통제 정책의 주기적인 점검 • 접근 통제 정책(VPC S/G NACL Rule)점검 : Tiros (Private Beta) • 구성오류 점검: Trusted Advisor, Config, Config Rules • 서버 접근제어: iGRIFFIN, HI-WARE • DB 접근제어: Charkra MAX, DB Safer, Hexatier, Secure Sphere DB F/W • VPC Security Group Rule관리: SecOps
  91. 91. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 분류 항목 솔루션 맵핑 AWS 파트너 보안점검 서비스 오픈 前 / 리뉴얼 後 보안검증제 수행 • 어플리케이션 보안 점검: Inspector, Inspector Rule 패키지 • N/A 체크리스트/모의해킹 정 기적인 수행 • 침투테스트 사전 승인 • 사전승인된 스캐너 보안관제 웹해킹 관제 (365*24) • N/A • 원격관제: 안랩, 인포섹, Cloud Defender • 웹쉘 모니터링: ShellMonitor,Anti-WebShell DDoS 관제 (365*24) • AWS Shield • DDoS툴: Incapsula, aiProtect • DDoS툴 포함 관제: IndusGuard Premium 방화벽 구성 • 방화벽: NACL, NACL 권장 규칙, Security Group • 방화벽 로그: VPC Flow Logs • PaloAlto NGFW, CheckPoint vSEC, Barracuda NGFW, Fo rtiGate-VM, Junipher vSRX IPS/IDS 구성 • IDS : Guard Duty • DeepSecurity, vSEC, CyberMethod, PCS, Sophos UTM 웹방화벽 구성 • WAF • CloudBric, Wapples, WIWAF, Barracuda WAF, SecureSph ere WAF AV1000 • IP Reputation : Spamhaus, ProofPoint, Tor 운영관리 사용자 접근권한 통제 • AWS user: IAM, RBAC, IAM정책예제 • App, O/S User: ActiveDirectory, Instance AD-Join, SSH, RDP • MFA • 토큰 서비스: STS • SSH Key관리 : OpsWorks Stack • IAM: IAM for AWS • 권한Attestation: Saviynt • SSO: OneLogin, OKTA, ClearLogin • MFA: M-PIN • SSH Key관리 : CyberArk, Userify
  92. 92. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 분류 항목 솔루션 맵핑 AWS 파트너 운영관리 로그 확보/감사추적 • 관리 이벤트 로깅 : AWS CloudTrail • IAM logging, KMS 키관리 관련 로깅 • Bastion Logging, EC2 SM Run command Logging • Log collecting: CloudWatch Logs(RDS-MySQL, Maria) • Log format: CloudTrail, ELB, CloudFront, VPC Flow Lo gs, S3, ALB • 모니터링 및 메트릭 : CloudWatch, CloudWatch Metrics • RDS 감사/로깅 : Postgre, MySQL, MariaDB, MS-SQL, Aurora, Oracle • 기타 : Redshift, • SIEM: Splunk, AlertLogic, FortiAnalizer-VM • Forensic : SumoLogic, Margarita Shotgun, AWS_IR 관리포털 계정 및 인증절 차 관리 • AWS user: IAM, RBAC • AWS IAM 모범사례 • Federation: console, console Proxy, SAML2.0, Mobile • IDP-SSO : AWS SSO • MFA: console • RDS DB user 인 증 : MS-SQL/AD, MySQL/IAM, Aurora/IAM, • SSO: OneLogin, OKTA, ClearLogin 백신 소프트웨어 설치 • N/A • AV/Malware: Symantec Protection Engine, Sophos Cl oud, MDS service OS 보안설정 및 최신패 치 적용 • AMI • EC2원격관리: Systems Manager • AMI 카탈로그 관리: Service Catalog • 구성오류, 취약점 점검: Inspector • AMI Security: ProtectV, CloudPassage • Container Security : ECS container security, Auqa Container Security Platform • Secure O/S: SteelCloud RHEL, Sophos SecureOS, G oldDisk Win2012 / Win2008, CIS Benchmark list • Vulnerability: Evident.io, SecOps
  93. 93. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 분류 항목 솔루션 맵핑 AWS 파트너 운영관리 가상호스트 삭제 시 중요 데이터 완전삭제 • 고객키로 암호화 후 디스크 볼륨 삭제: 고객키 업로딩. • CLI wiping • Wiping: Secured Ultra Defrag, CloudBerry 개인정보/중요정보 암호 화 • KMS를 이용한 암호화 • HSM: CloudHSM • Repository 암호화 : EBS, S3, RDS, RedShift, Dynamo DB , S3 Inventory • RDS 암호화 : Oracle TDE, MS-SQL TDE, • DLP : Macie • VDI : Workspace • DB암호화: D’Amo, Petra, Vormetric, Oracle EE TDE, MS-SQL EE TDE, mySQL EE TDE • Masking : CloudMask, Greensql, Hexatier, DgSecure • 이메일 보안: Message Archiver, Email Security G/W • DLP : Endpoint Vault • VDI : CGX 3D Desktop, vDesktop • DRM : SignNow, ExpressPlay, Adobe MediaServer5, Pallycan Multi-DRM 정기적 백업 • 백업용 서비스들: S3, Amazon Glacier • WORM설정 : Vault Lock • Retention policy • Backup&Archive제품들
  94. 94. 감사합니다.

×