356. 보안1 - Security,Identity
by
May 13. 2020
<1> 퀵하게 Security,Identity
1. IAM
계정을 생성하는 서비스
https://brunch.co.kr/@topasvga/481
https://brunch.co.kr/@topasvga/699
2. Resource Access Manager
리소스를 공유하는 서비스
https://aws.amazon.com/ko/blogs/korea/new-aws-resource-access-manager-cross-account-resource-sharing/
트랜짓 게이트웨이 사용시 RAM을 사용한다. https://brunch.co.kr/@topasvga/827
3. Cognito
임시 자격증명
https://docs.aws.amazon.com/ko_kr/cognito/latest/developerguide/what-is-amazon-cognito.html
요금 : MAU(월별 활성 사용자)만을 기준으로 비용을 지불합니다. https://aws.amazon.com/ko/cognito/pricing/
4. Secrets Manager
보안 암호를 더 쉽게 관리
https://brunch.co.kr/@topasvga/755
보안 암호는 데이터베이스 자격 증명, 암호, 타사 API 키 및 임의 텍스트
https://docs.aws.amazon.com/ko_kr/secretsmanager/latest/userguide/intro.html
사용하는 내역에 대해서만 지불하며 최소 또는 설정 요금이 없습니다.
요금 : 30일 무료평가판 , 가격 API 호출 1만 건당 0.05 USD https://aws.amazon.com/ko/secrets-manager/pricing/
5. GuardDuty
3가지 분석 : VPC흐름 로그 , DNS로그 분석 ,AWS CloudTrail 이벤트 분석
따로 flow log등 enable 안해줘도 된다.
자동화 권장 : cloudwatch-event -> lambda -> nacl 적용 , autoscaling적용 ,인스턴스 종료등 진행
https://brunch.co.kr/@topasvga/982
요금 : 처음 500GB/월 GB당 1.15 USD , AWS CloudTrail 이벤트 1백만 이벤트당/월 4.60 USD
https://aws.amazon.com/ko/guardduty/pricing/
270 USD/월 ? or 1,785 USD/월 ?
6. Inspector
Inspector agent는 AWS리소스 동작을 분석해 보안 문제를 식별하는 서비스
https://brunch.co.kr/@topasvga/982
요금 : Amazon EC2 인스턴스의 수를 기반으로 하며 평가를 위해 선택하는 규칙 패키지에 따라 달라집니다
https://aws.amazon.com/ko/inspector/faqs/
7. Amazon Macie
개인정보 검출 서비스
https://brunch.co.kr/@topasvga/985
비용 콘텐츠 분류 엔진에서 처리하는 GB당 5.00 USD + 이벤트 1,000,000개당 4.00 USD + S3보관 데이트 GB당 0.05 USD의 요금 https://aws.amazon.com/ko/macie/pricing/
2020년 5월 한국도 지원함 https://aws.amazon.com/ko/blogs/korea/new-enhanced-amazon-macie-now-available/
8. AWS Single Sign-On
https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html
AWS SSO는 추가 요금 없이 제공됩니다
https://aws.amazon.com/ko/single-sign-on/faqs/
9. Certificate Manager
SSL/TLS 무료 인증서
https://brunch.co.kr/@topasvga/612
요금 : 1~1,000개 0.75 USD , https://aws.amazon.com/ko/certificate-manager/pricing/
10. Key Management Service
KMS란 ? https://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/overview.html
https://brunch.co.kr/@topasvga/980
비용 : 삭제할 때까지 월별 1 USD의 요금이 부과됩니다
https://aws.amazon.com/ko/kms/pricing/
11. CloudHSM
고가용성을 제공하는 암호화키 저장 서비스
https://brunch.co.kr/@topasvga/1079
요금 : HSM별 총 시간당 요금 1.54 USD
https://aws.amazon.com/ko/cloudhsm/pricing/
12. Directory Service
AD서비스
https://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/what_is.html
https://us-west-2.console.aws.amazon.com/directoryservicev2/home?region=us-west-2#!/directories
요금 https://aws.amazon.com/ko/directoryservice/pricing/
13. WAF & Shield
WAF는 웹 방화벽이다. https://brunch.co.kr/@topasvga/981
CF ,LB , APIGW 장비에 붙는것이다.
룰셀을 만든거나 서드파트 사거나 가능하다.
waf가격 : 웹 ACL 월별 5 USD + 규칙(룰) 월별 1 USD + 요청 1백만 건당 0.6 USD
waf가격 https://aws.amazon.com/ko/waf/pricing/
waf시작하기 https://console.aws.amazon.com/wafv2/homev2#/new-url-notification
Shield는 DDOS 방어 서비스이다.
비용 300만원/월 (3,000 USD) https://aws.amazon.com/ko/shield/pricing/
1년 단위 계약 (advance )
Shield 시작하기 https://aws.amazon.com/ko/shield/getting-started/
14. AWS Firewall Manager
WAF와 동일함
https://console.aws.amazon.com/wafv2/homev2
15. Artifact 아티팩트
컴플라이언스 표준 준수에 있는지 확인
https://brunch.co.kr/@topasvga/984
16. Security Hub
AWS 계정 전반에 걸쳐 우선순위가 높은 보안 경고 및 규정 준수 상태를 종합적으로 확인할 수 있는 서비스입니다
중앙 집중 관리한다.
중앙 관리 계정에서 > 설정 > 계정 > add 멤버를 해서 관리한다.
https://us-west-2.console.aws.amazon.com/securityhub/home?region=us-west-2#/landing
https://aws.amazon.com/ko/security-hub/
요금 https://aws.amazon.com/ko/security-hub/pricing/
17. Detective
잠재적 보안 문제의 근본 원인을 빠르게 식별하도록 보안 데이터 분석 및 시각화
root 원인을 찾아 주는것. 서울 리전에 갑자기 API 요청이 늘경우 , AWS에서 분석
https://aws.amazon.com/ko/detective/
요금 : AWS CloudTrail, VPC 플로우 로그 및 Amazon GuardDuty 탐지 결과에서 수집한 데이터 볼륨을
기반으로 부과 , 30일 무료 평가판 가능
https://aws.amazon.com/ko/detective/pricing/
<2> 테스트해 볼 서비스
3. Cognito
4. Secrets Manager
5. GuardDuty
6. Inspector
7. Amazon Macie
10. Key Management Service
13. WAF & Shield
16. Security Hub
17. Detective
실습
https://sessin.github.io/awswafhol/
