[Amazon aws] aws 컨퍼런스 후기(2) - 강연4 : 클라우드 애플리케이션 보안

두번째 aws 컨퍼런스 후기는 네번째 강연이었던 클라우드 애플리케이션 보안이다!

 

2.   강연 4 : 클라우드 애플리케이션 보안

AWS의 고객들은 보안을 중요시 여기기 때문에 AWS는 여러 금융, 정부, 소매업 등에서 사용되는 만큼 그들의 보안 요건을 충족하기 위해 노력하고 있고 그 예를 알려주고자

 

AWS의 책임 공유모델

 

AWS의 책임 공유모델은 누가 책임을 지느냐에 따라 고객의 책임영역과 AWS의 책임영역으로 구분된다. 위의 고객 영역을 클라우드에서의 보안, 아래 AWS영역을 클라우드의 보안이라고 부른다. 클라우드에서의 보안은 5가지의 고려사항이 있다. 이는 무엇을 저장해야하는지, 어떤 AWS서비스를 사용해야하는지, 어느 리전에 저장해야하는지, 콘텐츠 형식과 구조는 어떻게 되는지, 누가 액세스할 수 있는지가 포함된다.

 

보안, 자격 증명 및 규정 준수 제품 중에 Amazon Shield , AWS Identity and Access Management, Amazon Inspector에 대해 이야기하고자 한다.

1)    IAM (AWS Identity and Access Management)

: ASW 리소스에 대한 액세스를 안전하게 제어하는 제품이다.

* 접근 통제 / 정책 정의 / 접근 관리 / 역할 생성 / 역할 관리 등의 역할을 수행한다.

* AWS의 필수 기능이라 추가 비용없이 제공된다.

 

 

* IAM 정책

- 용어정리

* 인증 : 사용자를 확인하는 것. 이에 따른 문제 시 고객의 책임이다.

* 권한 : 할 수 있는 작업.

* 정책 : AWS리소스에 대한 이용을 허용 혹은 거부하는 것에 대해 기제해둔 것.

* AWS 계정 루트 사용자 : 모든 AWS 서비스에 대한 완전한 액세스 권한을 가짐.

-> 루트 사용자 액세스 키를 삭제하고 IAM사용자를 생성해 관리자 액세스 권한을 부여하는게 보안적으로 더 낫다.

* IAM 정책 : 기제된 정책에 따라 인증과 권한 부여 절차를 통해 보안을 높이는 것.

* 역할을 사용하여 임시 보안 자격 증명 부여

 

어떠한 권한도 없을 경우에는 접근을 할 수 없다. 코드안에 자격을 포함시킬 수는 있지만 이 경우에는 정보 유출의 문제가 있어 옳지 않다. IAM역할을 사용하는 경우에는, IAM역할을 사용하여 접근하고자하는 버킷에 대해서 접근을 하는 정책을 만든다. 그렇게 IAM역할에 연결하면 연결한 역할을 EC2인스턴스의 할당된 IAM역할을 사용할 수 있게 된다.

 

2)    Amazon Inspector

: 자동화된 보안 평가 서비스를 말한다.

* 애플리케이션의 취약성을 평가한다.

* 상세한 보안 평가 결과 목록을 생성한다.

* 보안 모범 사례를 활용한다.

 

 

3)    AWS Shield

: 관리형 DDoS 보호 서비스

- DDoS는 잘 대비하더라도 공격의 방식이 계속하여 진화하기 때문에 방어가 어렵워서 AWS에서 AWS shield 서비스를 제공한다.

* AWS Shield Standard

-> 추가비용 없이 자동으로 활성화된 신속한 탐지와 인라인 공격 완화를 제공하는 서비스

* AWS Shield Advanced

-> standard보다 향상된 탐지, 공격완화, 전문적 지원을 제공하고 가시성 및 공격을 알리고 DDoS 비용을 보호한다.

 

 영상 링크 :

kr-resources.awscloud.com/awsome-day-online-conference

AWSOME DAY 온라인 컨퍼런스