minseoky.me
posts
☁️
cloud/aws

AWS Security

최민석·2024-07-19

AWS Security

main.png

AWS Security는 클라우드 환경에서 보안을 강화하고 규정 준수를 지원하는 다양한 서비스와 도구를 제공한다. 이 포스팅에서는 주요 AWS Security 서비스와 그 기능에 대해 알아보자.

DDoS 방어: WAF 및 Shield

waf.png
shield.png

  • AWS WAF: 웹 애플리케이션 방화벽으로, 악의적인 웹 트래픽을 차단하여 애플리케이션을 보호한다.
  • AWS Shield: DDoS 공격으로부터 애플리케이션을 보호하는 서비스다. 기본적으로 AWS Shield Standard는 모든 AWS 고객에게 제공되며, AWS Shield Advanced는 추가적인 보호와 DDoS 대응을 제공한다.

AWS Network Firewall

networkfirewall.png

AWS 네트워크 방화벽은 VPC 내에서 네트워크 트래픽을 모니터링하고 제어할 수 있는 완전 관리형 방화벽이다. 사용자 지정 규칙을 통해 인바운드 및 아웃바운드 트래픽을 제어할 수 있다.

AWS Firewall Manager

firewallmanager.png

AWS 방화벽 매니저는 여러 AWS 계정과 리소스에 걸쳐 방화벽 규칙을 중앙에서 관리할 수 있게 해주는 서비스다. 이를 통해 보안 규칙의 일관성을 유지하고 관리 효율성을 높일 수 있다.

KMS 및 CloudHSM을 사용한 암호화

kms.png
cloudhsm.png

  • AWS KMS: AWS Key Management Service는 데이터를 암호화하고 관리할 수 있는 키를 생성하고 제어할 수 있는 서비스다.

    KMS 키 종류

    고객 관리형 키 (Customer Managed Key)

    • 설명: 고객이 직접 생성, 관리 및 사용하는 키
    • 기능:
      • 키 활성화 및 비활성화 가능
      • 회전 정책 설정 가능 (매년 새로운 키 생성, 이전 키는 보존)
      • 사용자 소유 키 사용 가능 (BYOK, Bring-Your-Own-Key)

    AWS 관리형 키 (AWS Managed Key)

    • 설명: AWS가 고객을 대신하여 생성, 관리 및 사용하는 키
    • 사용 예시: AWS 서비스에서 사용 (예: aws/s3, aws/ebs, aws/redshift)

    AWS 소유 키 (AWS Owned Key)

    • 설명: AWS 서비스가 소유하고 여러 계정에서 사용하는 CMK(Collection of Customer Master Keys)
    • 기능:
      • AWS가 계정 내 리소스를 보호하기 위해 사용 (고객은 키를 볼 수 없음)

    CloudHSM 키 (CloudHSM Keys, Custom Keystore)

    • 설명: 고객이 소유한 CloudHSM 하드웨어 장치에서 생성된 키
    • 기능:
      • 암호화 작업이 CloudHSM 클러스터 내에서 수행됨

  • AWS CloudHSM: 고객이 직접 제어할 수 있는 하드웨어 보안 모듈(HSM)을 제공하여 높은 수준의 암호화 작업을 수행할 수 있다.

AWS Certificate Manager (ACM)

acm.png

AWS Certificate Manager는 SSL/TLS 인증서를 쉽게 프로비저닝, 관리 및 배포할 수 있게 해준다. 이를 통해 웹 사이트와 애플리케이션의 보안을 강화할 수 있다.

AWS Secrets Manager

secretsmanager.png

AWS Secrets Manager는 데이터베이스 자격 증명, API 키 등 중요한 정보를 안전하게 저장하고 관리할 수 있는 서비스다. 자동으로 암호를 교체할 수 있는 기능도 제공한다.

GuardDuty

guardduty.png

AWS GuardDuty는 AWS 계정과 리소스에 대한 위협을 지속적으로 모니터링하고 분석하여 이상 활동을 탐지하는 위협 탐지 서비스다.

주요 기능

  • 지능형 위협 탐지: AWS 계정을 보호하기 위해 기계 학습 알고리즘, 이상 탐지 및 서드 파티 데이터를 사용하여 지능형 위협 탐지를 수행한다.
  • 간편한 설정: 클릭 한 번으로 활성화 가능하며, 소프트웨어 설치가 필요 없다. 30일 무료 체험이 제공된다.
  • 입력 데이터:
    • CloudTrail 이벤트 로그: 이상한 API 호출, 무단 배포 등을 탐지.
      • CloudTrail 관리 이벤트: VPC 서브넷 생성, 트레일 생성 등.
      • CloudTrail S3 데이터 이벤트: 객체 가져오기, 객체 나열, 객체 삭제 등.
    • VPC 플로우 로그: 이상한 내부 트래픽, 이상한 IP 주소 탐지.
    • DNS 로그: DNS 쿼리 내의 인코딩된 데이터를 전송하는 손상된 EC2 인스턴스 탐지.
    • 선택적 기능: EKS 감사 로그, RDS & Aurora, EBS, Lambda, S3 데이터 이벤트 등.

추가 기능

gd1.png

  • EventBridge 규칙 설정: 이상 징후가 감지될 경우 알림을 받을 수 있도록 EventBridge 규칙을 설정할 수 있다.
  • 다양한 알림 대상: EventBridge 규칙은 AWS Lambda 또는 SNS를 대상으로 설정할 수 있다.
  • 암호화폐 공격 방어: 암호화폐 공격을 방어할 수 있는 전용 '탐지' 기능을 제공한다.

주요 장점

  • 자동화된 위협 탐지: 기계 학습과 이상 탐지를 통해 자동으로 위협을 탐지하고 경고를 제공.
  • 중앙 집중식 모니터링: 다양한 로그와 이벤트 데이터를 통합하여 중앙에서 모니터링할 수 있음.
  • 확장 가능: AWS 환경의 크기에 관계없이 확장 가능하며, 선택적 기능을 통해 추가적인 보안 로그와 이벤트를 모니터링할 수 있다.

GuardDuty 관련 영상

AWS Inspector

inspector.png

AWS Inspector는 애플리케이션의 보안 취약점을 자동으로 평가하여 보안 취약점 및 모범 사례 위반을 식별한다.

AWS Config

config.png

AWS Config는 AWS 리소스 구성을 추적하고, 변경 사항을 기록하며, 설정 준수 여부를 평가하는 서비스다. 이를 통해 환경의 변경 사항을 실시간으로 모니터링하고 관리할 수 있다.

AWS Macie

macie.png

aws macie 1

AWS Macie는 기계 학습을 사용하여 S3 버킷에서 민감한 데이터를 자동으로 식별하고 보호하는 서비스다. 이를 통해 데이터 유출 위험을 줄일 수 있다.

AWS Security Hub

securityhub.png

aws security hub 1

AWS Security Hub는 여러 AWS 보안 서비스의 결과를 통합하여 보안 상태를 중앙에서 관리할 수 있게 해주는 서비스다. 보안 규정 준수와 관련된 통찰을 제공한다.

Amazon Detective

detective.png

Amazon Detective는 AWS 계정 내에서 발생한 보안 문제를 조사하고 분석할 수 있는 서비스다. 로그 데이터를 시각화하여 문제의 원인을 파악할 수 있다.

IAM Access Analyzer

accessanalyzer.png

IAM Access Analyzer는 AWS 리소스에 대한 액세스 정책을 분석하여 과도한 권한을 식별하고 보안을 강화할 수 있게 해주는 도구다.

루트유저 권한

루트 유저는 다른 IAM 사용자나 역할이 수행할 수 없는 특정 작업을 수행할 수 있다. 다음은 루트 유저만 수행할 수 있는 작업 목록이다:

  • 계정 설정 변경:
    • 계정 이름 변경
    • 이메일 주소 변경
    • 루트 유저 비밀번호 변경
    • 루트 유저 액세스 키 변경
  • 세금 인보이스 보기: 특정 세금 인보이스를 볼 수 있다.
  • AWS 계정 닫기: AWS 계정을 영구적으로 닫을 수 있다.
  • IAM 사용자 권한 복구: IAM 사용자의 권한을 복구할 수 있다.
  • AWS Support 플랜 변경 또는 취소: AWS Support 플랜을 변경하거나 취소할 수 있다.
  • 예약 인스턴스 마켓플레이스에서 판매자로 등록: 예약 인스턴스 마켓플레이스에 판매자로 등록할 수 있다.
  • Amazon S3 버킷에 MFA(Multi-Factor Authentication) 설정: MFA를 설정하여 추가적인 보안 계층을 추가할 수 있다.
  • 잘못된 VPC ID 또는 VPC 엔드포인트 ID가 포함된 Amazon S3 버킷 정책 편집 또는 삭제: 잘못된 VPC ID 또는 VPC 엔드포인트 ID가 포함된 S3 버킷 정책을 편집하거나 삭제할 수 있다.
  • GovCloud에 가입: AWS GovCloud에 가입할 수 있다.

보안 서비스 비교표

기능 서비스 설명
웹 애플리케이션 보안 AWS WAF, AWS Shield 웹 애플리케이션 방화벽(WAF)과 DDoS 방어(Shield)를 제공하여 애플리케이션을 보호
네트워크 방화벽 및 관리 AWS 네트워크 방화벽, AWS 방화벽 매니저 네트워크 트래픽을 모니터링하고 제어하며, 중앙에서 방화벽 규칙을 관리
데이터 암호화 및 인증서 관리 AWS KMS, AWS CloudHSM, AWS Certificate Manager (ACM) 데이터 암호화와 키 관리, SSL/TLS 인증서의 프로비저닝, 관리 및 배포
보안 정보 저장 및 관리 AWS Secrets Manager, AWS Config 기밀 정보(데이터베이스 자격 증명, API 키 등)의 안전한 저장 및 관리, AWS 리소스 구성 추적 및 변경 사항 기록
보안 위협 탐지 및 분석 AWS GuardDuty, Amazon Detective 위협 모니터링 및 분석, 로그 데이터 시각화를 통해 보안 문제의 원인 파악
보안 평가 및 규정 준수 관리 AWS Inspector, AWS Artifact, AWS Security Hub 애플리케이션의 보안 취약점 평가, 규정 준수 문서 제공, 보안 상태를 중앙에서 관리
데이터 보호 및 민감한 데이터 탐지 AWS Macie S3 버킷의 민감한 데이터를 자동으로 식별 및 보호
액세스 권한 관리 IAM Access Analyzer AWS 리소스에 대한 액세스 정책을 분석하여 과도한 권한 식별 및 보안 강화
기타 보안 서비스 AWS Abuse, 루트 사용자 권한 AWS 리소스의 악의적 사용 보고 및 대응, 루트 사용자 권한 최소화와 IAM 사용자 권한 할당