AWS 공동 책임 모델
리소스를 안전하게 유지할 책임은 사용자와 AWS가 나누어 가지게 됩니다.
| 사용자 (클라우드 내부 보안 담당) |
데이터 | 고객 데이터 관리 |
| 애플리케이션 | 플랫폼, 애플리케이션, 자격 증명 및 액세스 관리 | |
| 운영체제 | 운영체제 버전 관리, 네트워크 설정, 방화벽 구성 | |
| AWS (클라우드 자체 보안 담당) |
물리적 공간 | 물리적 데이터센터 보안 |
| 네트워크 | 리전, 가용영역, 엣지 로케이션 | |
| 하드웨어 | 컴퓨팅, 스토리지, 데이터베이스, 네트워킹 장비 |
AWS Identity and Access Management (IAM)
AWS 계정을 처음 만들면 루트 사용자라는 계정으로 시작합니다. 이 사용자는 계정의 모든 AWS 서비스 및 리소스에 대한 전체 액세스 권한을 가지므로 특정 몇가지 작업에서만 루트 사용자로 수행하며, 나머지 일반적인 작업은 IAM 사용자라는 루트 사용자가 생성한 별도의 계정으로 수행합니다. 새 IAM 사용자를 생성하면 아무런 권한이 없는 계정이 생성되므로 별도로 권한을 부여해서 사용합니다.
IAM 정책은 AWS 서비스 및 리소스에 대한 권한을 허용하거나 거부하는 JSON 문서로, 이를 개별 IAM 사용자에게 부여하거나 IAM 그룹에 할당하여 해당 그룹의 모든 사용자에게 권한을 부여할 수 있습니다. 또 다른 권한 부여 방법으로 IAM 역할이 있습니다. 주로 임시로 권한을 부여할 때 사용합니다.
AWS Organization
AWS에서는 기본적인 보안 경계를 계정 단위로 관리하기 때문에, 하나의 조직 내에서는 단일 루트 사용자가 아니라 여러 루트 사용자 계정을 사용하게 됩니다. 여러 계정을 사용하면 권한 관리의 어려움이 뒤따라오는데, AWS Organizations를 사용하면 각 계정을 조직 단위(OU)로 그룹화하여 비슷한 비즈니스 또는 보안 요구 사항이 있는 계정끼리 통합 관리할 수 있습니다. OU에 정책을 적용하면 OU에 속한 모든 계정이 정책에 지정된 권한을 자동으로 상속받습니다. OU마다 혹은 각 계정마다 서비스 제어 정책(SCP)을 적용해 사용자가 접근하는 AWS 서비스, 리소스 및 개별 API 작업을 제한할 수 있습니다.
AWS Artifact
AWS Artifact는 보안 및 법률 준수에 관한 서비스입니다. AWS 서비스 전체에서 특정 유형의 정보를 사용하기 위해 AWS와 계약을 체결해야 할 때 사용하는 AWS Artifact Agreements, 감사 기관에서 AWS가 다양한 글로벌, 지역별, 산업별 보안 표준 및 규정을 준수했음을 검증한 보고서를 제공해주는 AWS Artifact Reports가 있습니다.
AWS Shield
DDoS 공격으로부터 애플리케이션을 보호하는 서비스로 두 가지 보호 수준인 Standard 및 Advanced를 제공합니다. Standard는 무료로 제공되며 일반적인 DDoS 공격으로부터 리소스를 보호합니다. Advanced는 유료 서비스로, 상세한 공격 진단 및 정교한 DDoS 공격을 탐지하고 완화할 수 있는 기능을 제공해줍니다.
AWS Key Management Service(AWS KMS)
암호화 키를 생성, 관리 및 사용할 수 있는 서비스입니다. 키를 관리할 수 있는 IAM 사용자 및 역할을 지정하거나 더 이상 사용되지 않도록 일시적으로 키를 비활성화할 수 있습니다.
AWS Web Application Firewall(AWS WAF)
WAF는 웹 애플리케이션 방화벽입니다. Amazon CloudFront 및 Application Load Balancer와 함께 작동하여 지정한 IP 주소에서 나온 요청을 제외한 모든 요청을 허용하도록 웹 ACL(Access Control List)을 구성한 후 사용합니다.
Amazon Inspector
보안 모범 사례 위반 및 보안 취약성을 애플리케이션에서 검사한 뒤 사용자에게 탐지 결과 목록을 제공합니다. 각 보안 문제에 대한 자세한 설명 및 권장 해결 방법을 제공해주긴 하지만 이것만으로 모든 잠재적 보안 이슈가 해결됨을 보장하지는 않습니다.
Amazon GuardDuty
AWS 인프라 및 리소스에 대한 지능형 위협 탐지 기능을 제공해주는 서비스입니다. 추가 보안 소프트웨어를 배포할 필요 없이 GuardDuty가 알아서 네트워크 및 계정 활동을 모니터링하고 VPC Flow Logs 및 DNS 로그를 비롯한 여러 AWS 소스의 데이터를 지속적으로 분석합니다.
* 본문의 내용은 AWS Cloud Practitioner Essentials (Korean) 강의 내용을 정리한 글입니다.
'Cloud > AWS' 카테고리의 다른 글
| [AWS 기초] #8 요금 및 지원 (0) | 2021.11.09 |
|---|---|
| [AWS 기초] #7 모니터링 및 분석 (0) | 2021.11.09 |
| [AWS 기초] #5 스토리지 및 데이터베이스 (0) | 2021.11.09 |
| [AWS 기초] #4 네트워킹 (0) | 2021.06.10 |
| [AWS 기초] #3 AWS 글로벌 인프라 (0) | 2021.05.30 |
댓글