AWS-보안

AWS Shield Standard

-DDos 공격으로부터 보호

-무료로 사용가능

-OSI 모델의 L3(네트워크 계층), L4(전송 계층)에서 발생하는 DDoS 공격으로부터 보호

 

AWS Shield Advanced

 

-매달 $3,000 비용 발생(1년 약정)

-CloudWatch를 통해 실시간 모니터링, 리포팅가능

-AWS의 DDoS 대응팀(DRP)에 24/7 요청 가능(연중무휴)

-L3, L4 계층과 L7(애플리케이션 계층)에서도 DDoS 공격으로부터 보호

-DDoS 공격으로 발생한 비용은 AWS에서 지불

 

AWS WAF(Web Application Firewall)

-L7 계층에서 발생하는 공격을 차단

-Web ACL(Access Control List)에 규칙 정의, IP 주소, HTTP 헤더, HTTP 바디, URI를 포함하는 규칙 SQL injection, Cross-Site Scripting(XSS) 공격으로부터 보호

-사용한 만큼 비용을 지불

 

AWS Shield Advanced, AWS WAF 차이

 

-OSI7 계층에서 동작한다는 공통점이 있지만

AWS Shield Advanced는 DDoS 방어에 특화

AWS WAF는 트래픽을 필터링하고 분석하여, SQL 인젝션, XSS 등과 같은 애플리케이션 레벨의 공격을 방어하는데 특화

 

AWS Network Firewall

-L3, L4 계층에서 동작

-관리형 방화벽 서비스로 VPC의 트래픽을 보호하고 제어하는 데 사용된다.

-WAF의 경우 내부에서 외부로 유출하는 것을 막을 수 없지만 AWS Network Firewall은 VPC 내에서 외부, 내부 트래픽 모두 차단할 수 있음

 

Amazon Inspector

-취약성을 찾아 주는 서비스이다.

-스캔을 완료하면 CVE 데이터베이스와 비교하여 취약점이 있으면 보고서 형태로 보여주며, 취약점을 수정해 주진 않음

 

EC2

-EC2 인스턴스에서 실행 중인 운영 체제와 소프트웨어를 CVE(Common Vulnerabilities and Exposures, 알려진 취약점) 정보를 기반으로 스캔하여 취약점을 찾아낸다.

-네트워크 접근을 분석하여 의도하지 않은 외부 접근이 가능한지 확인, 해당 분석은 보안그룹과 네트워크 ACL(Access Control List)을 포함

 

컨테이너 이미지

-Amazon Elastic Container Registry(ECR)에서 푸시된 도커 이미지에 포함된 모든 패키지와 의존성을 스캔한다. 거의 모든 파일을 분석한다는 의미

 

람다 함수

-람다 함수 배포 시 코드의 취약점 분석, 의존성을 스캔

 

Amazon GuardDuty

-머신 러닝, 위협 인텔리전스, 로그 데이터 분석, 행동 분석 등을 통해 위협을 판단

-Amazon GuardDuty는 공격을 발견해도 차단하는 기능은 없음, CloudWatch Events 룰을 생성하여 해당 룰이 트리거 되면 AWS 람다 함수를 호출하여 공격자 ip를 차단할 수 있음, CloudWatch Events 뿐만 아니라 다른 AWS 서비스와 통합하는 기능을 제공한다.

 

Amazon Detective

-Detective는 AWS에서 발생하는 다양한 보안 이벤트를 자동으로 수집하고 분석하여, 보안 문제의 근본 원인을 신속하게 파악

-VPC flow 로그, CloudTrail 로그, GuardDuty, 등 여러 보안 조사 결과를 통합해 분석

-시각적으로 연결하여 보여주는 그래프를 사용하여, 쉽게 분석 가능하게 도와준다.

-전체 계정을 통합해서 보안 위협이 있는지 탐색

 

KMS(Key Management Service)

-AWS에서 완전 관리하는 완전 관리형 서비스이다.

-데이터를 암호화하거나 디지털 서명할 때 사용하는 키를 생성 및 제어

-AWS 계정 내에서 발생하는 API 호출과 관련된 로그를 기록하는 서비스인 CloudTrail과 연계하여 키 사용 내역 감사가능

 

KMS 키 종류

Customer Managed Key (CMK): 사용자가 직접 생성하고 관리하는 키

AWS Managed Key: AWS 서비스가 자동으로 생성하고 관리하는 키

AWS Owned Key: AWS가 소유하고 여러 사용자가 사용할 수 있는 키, 고객은 이 키의 존재를 인지하지 못하고, 고객은 이 키에 대한 접근 권한이 없음 따라서 고객은 이 키를 사용하는 특정 AWS 서비스의 기능을 통해 간접적으로 키를 사용

 

SSL/TLS

-웹 서버와 클라이언트 간의 데이터 전송을 암호화하여 중간에서 데이터가 도청되거나 변조되는 것을 방지

-SSL을 개발한 Netscape가 업데이트 참여 안 함에 따라 소유권 변경을 위해 TLS으로 이름 변경

 

AWS Certificate Manager

-AWS의 SSL/TLS 인증서 프로비저닝, 배포 서비스(전송 중 암호화)

-자동 인증서 관리를 통해 인증서 갱신 등의 인증서 유지 관리 작업 수행

-ELB, CloudFront, API Gateway와 통합되어 무료 SSL/TLS 인증서를 제공하며, 안전한 데이터 전송을 보장

 

AWS Config

 

-AWS 리소스의 구성 및 상태를 평가, 감사 및 모니터링하는 서비스 

-변경 이력은 AWS Config의 콘솔에서 확인가능, 구성 변경에 대한 것을 S3에 기록함으로써 Athena를 통해 분석 가능

-사용자 정의 규칙을 만들어 리소스의 상태와 구성을 모니터링하여 보안 위협 발견하는데 도움을 줌

 

Amazon Macie

-완전 관리형 데이터 보안 및 데이터 프라이버시 서비스

-기계학습과 패턴 매칭을 사용해 민감한 데이터(주민번호, 계좌번호 등)를 자동으로 검색, 분류, 보호

-S3에 저장된 데이터를 스캔하여 민감한 정보를 탐색 

 

AWS Security Hub

-AWS Security Hub는 AWS Config, Amazon GuardDuty, Amazon Inspector, Amazon Macie, IAM Access Analyzer 등 이와 같은 보안 서비스들을 중앙에서 통합하고 종합적으로 관리할 수 있는 플랫폼 역할을 한다.

-보안 및 규정 준수 상태를 중앙에서 관리하고 모니터링할 수 있는 서비스

-대시보드를 통해 보안상태를 한눈에 확인 가능

-Security Hub 사용을 위해 AWS Config 활성화 필수