[2023 AWSome Day] AWS 클라우드 핵심 서비스 소개: 네트워킹, 보안

 

이미지 출처:  https://aws.amazon.com/ko/events/awsome-day/awsome-day-online/

* 이 글은 2023 11.16일 AWS에서 진행한 온라인 콘퍼런스인 AWSome Day를 듣고 정리하였습니다.

강연 4: 네트워킹, 보안

Amazon Virtual Private Cloud (Amazon VPC)

• VPC란, AWS Cloud의 개인 네트워크 공간
• VPC는 리전 범위의 서비스며 선택한 리전의 가용영역에 걸쳐 생성된다.
• ip 주소 범위 서브넷 생성, 라우팅, 인터넷 게이트웨이 구성 등 가상 네트워킹 환경을 사용자가 직접 제어 가능 

서브넷

vpc, ip 주소 범위 내에 세그먼트 또는 파티션으로 볼 수 있으며 각각 워크로드 격리 

 

퍼블릭 서브넷

공용 인터넷에서 직접 엑세스 가능, EC2는 외부 인터넷에 접근 가능해야 하므로 퍼블릭 서브넷 

 

프라이빗 서브넷

공용 인터넷에 접근 불가능 

 

Elcastic Load Balancing (ELB)

EC2 인스턴스 트래픽 분산, 로드밸런스가 라운드로빈 방식으로 트래픽을 제어함 

 

고가용성을 위해 여러 가용영역에 서브넷 생성

인프라 보안 

라우팅 테이블

• 각 서브넷에서 각 ec2인스턴스 엑세스 제어 가능 
• 네트워크 트래픽이 전달되는 위치를 제어 가능
• 라우팅 테이블에 공격자 아이피가 없으면 접근 불가능하게 함

네트워크 ACL(엑세스 제어 목록)

• 서브넷 범위의 인바운드, 아웃바운드 트래픽 제어를 위한 방화벽 역할 
• 규칙을 통해 ssh 접속과 같은 프로토콜, 포트 범위, 소스 대상을 지정하여 허용 및 거부 설정 가능 

보안그룹

• 인스턴스 인바운드 아웃바운드 트래픽을 제어하는 가상 방화벽
• 서브넷 범위가 아닌 인스턴스를 보호하므로 각각 인스턴스마다 다른 보안그룹 설정 가능
• 허용하고자 하는 규칙을 지정하여 트래픽을 제어 ex) https만 허용 규칙 정용 

인프라와 연결

온프레미스 데이터센터에서 AWS VPC와 데이터 센터를 연결하는 하이브리드 클라우드 아키텍처 구축 방안

 

AWS Client VPN

AWS 리소스와 온프레미스 네트워크의 리소스에 안전하게 엑세스하는데 사용될 수 있는 관리형 클라이언트 기반 VPC 서비스

 

AWS Site to Site VPN

VPN aws 최적화 하고 사용자의 vpc를 데이터센터에 연결, 이때 IPsec VPN 지원

이 둘의 연결은 암호화된 라우팅으로 전송 데이터의 기밀성과 무결성 보장

 

AWS Direct connect

• 일괄된 대역폭 유지
• 데이터센터와 AWS간 연결 손실로 이한 위험 최소화
• 인터넷이 아닌 aws 서비스로 데이터를 전송 가능 

보안

보안이 최우선

• 데이터 리전성 보호 및 기밀성과 같은 핵심 보안 및 규정 준수 가능
• AWS는 암호화 및 로깅 기능 서비스 및 기능을 통해 개인정보 보호에 대한 기준을 지속적으로 높임
• aWS 관리형 키 및 고객 관리형 키로 전송중 데이터와 유휴  데이터를 암호화 가능
• 보안 프로세스를 암호
• 지속적인 실시간 내부 보고 및 모니터링 

공동 책임 모델

고객 책임

고객 데이터, 클라우드에서의 보안 

고객 데이터
플랫폼, 애플리케이션, 자격 증명 및 액세스 관리
운영 체제, 네트워크 및 방화벽 구성
클라이언트 측 데이터 암호화 및 데이터 무결성 인증	서버 측 암호화	네트워크 트래픽 보호(암호화, 무결성, 자격 증명)

 

AWS 책임

기초 서비스, 글로벌 인프라 클라우드의 보안

AWS 기초 서비스

컴퓨팅, 스토리지, 데이터베이스, 네트워킹

AWS 글로벌 인프라

리전, 가용 영역, 엣지 로케이션

 

AWS Identity and Access Management(IAM)

• 서비스와 리소스에 대한 액세스를 안전하게 관리하도록 만든 서비스
• 역할을 만들고 접근 권한을 허용한 거나 거부하는 정책으로 AWS 리소스 접근관리 
• 추가 비용 없이 제공 (보안은 필수적이므로)

AWS IAM 구성요소

사용자

• IAM 사용자를 통해 인증 가능
• 인증은 AWS 서비스에 접근하는 사람이나 애플리케이션이 실제 사람이 맞는지 확인하는 과정

권한과 정책

• 권한을 주기 위해서 IAM 정책을 사용자, 그룹, 역할에 연결
• IAM 정책은 AWS 서비스 및 리소스에 대한 권한을 허용하거나 거부하는 JSON 형태의 문서

그룹

• 동일한 권한을 가진 IAM 사용자 모음
• 권한을 정의하는 정책을 효율적으로 적용
• 그룹에 정책을 할당하고 사용자를 포함시키는 메커니즘

역할

• 계정을 생성할 수 있는 특정 권한을 지닌 IAM 자격 증명
• 정책을 가진 AWS 자격 증명이라는 점에서 사용자와 유사하지만, 해당 권한이 필요한 사람은 누구든지 맡을 수 있어야하고 역할에는 그와 연관된 암호나 엑세스 키와 같은 표준 자격 증명이 없다는 점에서 차이가 있음
• 즉 IAM 역할은 임시로 권한에 엑세스 하기 위해 수임할 수 있는 자격 증명
• 사용자는 역할을 수임하고 해당 역할에 연결된 다른 권한을 임시로 가질 수 있음
• IAM 역할은 연결된 보안 인증 권한이 없음

Amazon S3 버킷 정책 액세스 제어 

• Amazon S3와 같이 리소스 자체에서 권한을 부여해 접근을 제어할 수 있는 리소스 기반 정책이 있다.
• Amazon S3 기본 정책은 기본적으로 퍼블릭 접근을 제한하지만 해제 가능
• 특정 사용자에게만 S3 버킷에 엑세스 접근을 허용, 거부할 수 있음

AWS CloudTrail

지속적으로 사용자 활동과 각 작업에 대한 중요 정보를 모니터링함

API 호출을 기록하고, 로그 분석을 통해 잠재적 위협 감지가능

 

AWS Trusted Advisor

비용 절감, 성능 향상 및 보안 개선에 도움이 되는 방법을 안내하는 서비스

검사를 통해 AWS 인프라를 최적화, 보안 및 성능 개성, 서비스 할당량을 모니터링할 방법 제공 

 

다음과 같은 이점이 있다.

• 비용 최적화 -> 사용하지 않은 유휴 리소스, 제거 예약 용량 약정
• 성능 -> 프로비저닝 처리량 확인, 초과 사용되는 인스턴스 모니터링
• 보안 부분 -> aws 보안 기능 점 
• 내결함성 -> aws 자동 조정 상태확인 등 aws 애플리케이션에 가용성과 중복성 높임
• 서비스 한도 -> 스냅샷 기반으로 한도가 80 퍼가 넘는지 확인

퀴즈

VPC의 네트워크 방어 계층은?

1. Amazon Machine images(AMIs), 네트워크 엑세스 제어 목록(서브넷 수준), 보안 그룹(인스턴스 수준)
2. 네트워크 엑세스 제어 목록(서브넷 수준), 보안 그룹(인스턴스 수준), S3 수명 주기 정책
3. Amazon Machine Images (AMIs), 보안 그룹 (인스턴스 수준), S3 수명 주기 정책
4. 네트워크 엑세스 제어 목록(서브넷 수준), 보안 그룹 (인스턴스 수준), VPC 라우팅 테이블 

정답: (4)

 

IAM의 구성 요소는?

1. 그룹 - 동일한 권한을 가진 사용자 모음, 버킷- 저장된 객체용 컨테이너, 인스턴스 - 가상 서버로 실행되는 AMI의 복사본
2. 그룹 - 동일한 권한을 가진 사용자 모음, 사용자 - AWS와 상호 작용하는 사람 또는 애플리케이션, 정책 - 하나 이상의 권한으로 구성된 공식 문 
3. 버킷- 저장된 객체용 컨테이너, 인스턴스 - 가상 서버로 실행되는 AMI의 복사본, 정책 - 하나 이상의 권한으로 구성된 공식 문
4. 버킷- 저장된 객체용 컨테이너, 사용자 - AWS와 상호 작용하는 사람 또는 애플리케이션,인스턴스 - 가상 서버로 실행되는 AMI의 복사본

정답: (2)