Web Dev/AWS

AWS :: 공동 책임 모델, 계정, 보안

HJPlumtree 2023. 1. 24. 19:37

AWS에서 기억하고 싶은 내용

 

 

이번 포스트는
보안에 대해

 

 

공동 책임 모델

보안 책임자는 AWS와 유저 둘 다

 

책임 영역

1. AWS

  • 클라우드 자체 보안
  • 물리적 공간
  • 네트워크\
  • 하이퍼바이저

2. 유저

  • 클라우드 내부 보안
  • 운영체제
  • 애플리케이션
  • 데이터

 

 

 

계정

루트 사용자 계정

AWS 계정 만들면 되는 루트 사용자

제일 막강한 계정, 모든 AWS 서비스 및 리소스에 접근 가능

 

루트 사용자 팁
루트 사용자로 다른 사용자 만들고,
이 사용자에 다른 사용자 생성할 수 있는 권한 주기
루트 사용자만 할 수 있는 작업에만 루트 사용자 사용하기

 

AWS Identity and Access Management(IAM)

AWS에서 생성하는 자격 증명

얘로 계정 액세스 제어할 수 있다

IAM 유저 만들어서 권한을 주는 것

(처음엔 아무 권한도 없다)

최소 권한 원칙 적용

 

그룹을 만들어 권한을 부여할 수 있다

 

역할(Role)

IAM으로 권한을 주기는 그렇지만,

다른 일을 해야될 때 역할을 사용하는 듯 하다

 

나아가서 좋은 점은 여러 권한을 한 번에 주는 것이 아니라,

역할로 구분하면 관리에도 좋을 것 같네

 

모든 유저에 MFA 활성화 시키자, 특히 강력한 루트 계정!

 

 

AWS Organizations

여러 계정 관리하는 곳

 

서비스 제어 정책(SCP)를 적용할 수 있는 계정

  • 루트 사용자
  • 개별 멤버 계정
  • OU(아마 Organization United)

 

Organizations 주요 기능

  • 중앙 집중식 관리
  • 모든 멤버 통합 결제(할인 된다고 하네)
  • 계정 계층적 그룹화
  • 서비스 및 API 작업 접근을 각 계정에 대해 제어

 

 

AWS Artifact

규정 준수와 관련 정보를 확인할 수 있는 리소스 제공

온디맨드로 AWS 규정 준수 보고서에 접근

AWS와 계약 검토, 수락 그리고 관리 가능

 

 

공격 방어

DDoS(Distributed Denial of Service attacks)
분산 서비스 거부라고 부르네
분산된(여러) 곳에서 시스템에 과부하를 걸어서,
작동하지 않도록 만든다.

의도가 없는 선량한 유저들의 장치를 알지 못하게 이용해서,
공격 대상의 인프라를 공격하게 만들기도 한다

 

공격 방법과 대안

UDP FLOOR: 요청한 반환 값을 다른 곳으로

=> 'AWS 보안 그룹': 허용된 요청 트래픽만 통과

HTTP 수준 공격: 지속적인 HTTP 요청, 다른 선량한 요청 안되도록

SLOWLORIS 공격: 요청을 느린척해서 패킷 받을 때까지 다른 요청 안가도록

=> ELB: http 트래픽 요청 먼저

 

해결책

AWS WAF 혹은 AWS Shield 사용

 

AWS WAF

웹 앱 방화벽 사용

수신 트래픽 필터링해서 해커의 서명 찾아낸다

기계 학습 기능 지원해서, 진화되는 새로운 위협을 인식

 

 

추가적으로 생각해볼 보안 서비스 

1. Amazon Key Management Service(KMS)

암호화 키를 이용해서 암호화 작업 수행

키를 관리할 IAM 사용자/역할 지정 가능

 

2. 한번 더 등장한 AWS WAF

웹 앱으로 들어오는 네트워크 요청 모니터링하는 방화벽

CloudFront와 Application Load Balancer와 같이 작동

차단 IP 주소에서 요청이 나오면 접속 거부

?? 하지만 차단 IP인지는 매번 확인해야 할까? 

 

차단을 하기위해 IP 뿐만 아니라 ACL을 사용한다

  • Country
  • 문자열/정규식 확인
  • 사이즈
  • 수상한 SQL 코드나 스크립트

 

3. Amazon Inspector

자동으로 보안 평가를 하기 위한 서비스

EC2 인스턴스에 대해 모범 사례 위반과 보안에 취약성을 검사

(오픈 액세스, 취약한 소프트웨어 버전 등)

실행하면 보안 결과를 확인할 수 있다

 

4. Amazon GuardDuty

네트워크 및 계정 활동 모니터링

VPC Flow Logs, DNS 로그 등 지속적으로 데이터 분석

보안 결과에 따라 자동으로 문제 해결하도록,

AWS Lambda 함수를 만들어 놓을 수 있다

 

 

 

'Web Dev > AWS' 카테고리의 다른 글

AWS :: 요금  (0) 2023.01.26
AWS :: 모니터링  (0) 2023.01.25
AWS :: 스토리지, 데이터베이스  (0) 2023.01.23
AWS :: VPC, Route 53  (0) 2023.01.22
AWS :: 리전, 엣지로케이션, 프로비저닝  (0) 2023.01.21