<1> 가드 듀티
<2> API Gateway 보안
<3> 람다 보안
<4> 키관리 , KMS ?
<5> HSM
<6> Secrets Manager
<7> 보안을 고려한 설계 접근 방식
<8> CloudFormation
<9> 서비스 카탈로그
<1> 가드 듀티
4가지 모니터링 가능하다!
1
Vpc Flow logs - 자동 enable
cloud trail - 자동 Enable
Dns logs
S3 Data Events
<2> API Gateway 보안
동시 1000명, 2000명 만 들어오게 제한 가능
WAF통합
권한 부여 및 액세스 제어 가능하다.
<3> 람다 보안
1
아키 ?
다이나모 DB가 변경 되면 --- 스트림에 저장 ----- 람다 호출
2
람다를 사용할때 보안 2가지 ?
API Gateway에서 사용자 인증을 한다.
API Gateway에서 리소스 기반의 정책을 부여하여 1차 보안을 한다.
람다 정책에 APIGW만 Principal로 설정해서 보안을 할수 있다.
APIGW에서 왔을때만 허용하도록 설정하자.
<4> 키관리 , KMS ?
1
KMS ?
데이터키
암호화된 데이터키
2
데이터키 ?
aws kms generate-data-key --key-id xxxxxxxxxxxxxxxxxxxx --key-spec AES_256
plan key = 데이터키
3
마스터키는 외부로 나가지 않는다.
마스터키 = KMS이다.
4
리소스 기반 정책 부여 가능
권한을 부여 가능
5
키교체?
예전키를 백업
<5> HSM
1
엄격한 규정준수 요구시 , 금융서비스의 경우 요청오는경우.
2
하드웨어를 독립적으로 사용하는것이다.
멀티로 사용하지는 않는다.
하드웨어 모듈이다.
최대 32대의 HSM
28개까지 사용, AWS 예약 4개.
2개 이상 사용 필요
구조 그림 참고
3
키정보는 매일 자동 백업됨
시간당 과금.
<6> Secrets Manager
1
암호를 관리하자.
중앙화
정기적으로 암호를 교체
2
DB 암호를 변경 -> 어플리케이션 암호도 변경해야 한다.
불편하다.
그래서 userid , passwd 를 별도 저장소에서 관리.
3
람다로 DB userid , passwd변경한다.
자동화작업
Secrets Manager가 수행한다.
아키 확인
4
user id , passwd 를 중앙에서 관리하는 것이다.
교차 계정 가능
보안 암호 교체 자동화
비용 발생
5
기타
시스템 매니저의 파라미터 스토어 ?
자동 교체 안됨.
추가 비용 없음.
단일 계정만됨.
<7> 보안을 고려한 설계 접근 방식
1
요구사항을 이해
문서화 해야 한다.
2
안전한 환경 구축
암호화 요구사항, 권한, 로깅 정의
해결?
cloudformation 을 구현한다.
3
템플릿을 사용 강제적용
해결?
서비스 카탈로그를 사용한다.
4
검증해야 한다.
정규적으로 감사해야 한다.
<8> CloudFormation
1
모듈식으로 설계 사용하라.
1개에 모두사용하면 관리가 힘들어 진다.
2
다중 리전 배포를 위한 StackSet 을 사용할수 있다.
3
템플릿에 자격 증명 user 암호 , passwd 를 넣지 않도록 한다.
시크리트 매니저와 연동해서 하용하라.
4
드리프트 감지기능을 이용해 변경을 확인하라.
<9> 서비스 카탈로그
1
구성사례 ?
2
IAM역할을 통해 카탈로그에 액세사 할 수 있는 사용자 제어
3
카탈로그 관리자
4
최종 사용자 고려
5
강제화 하겠다는 것이다.
감사합니다.