brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Jan 26. 2021

547. AWS 보안 원칙


<1> 보안 원칙

<2> 인증

<3>  CloudTrail

<4> 암호화 방식

<5>  VPC 보안 



<1> 보안 원칙


1

최소 권한의 원칙 적용?

필요에 따라 제공


2

추적 기능 활성화?

작업 변경 모니터링

로그 및 지표 활용

클라우드 리소스 감사


3

모든 계층 보호?

네트워크, 애플리케이션 모두 보호 필요

다양한 AWS 서비스 이용 필요


4

보안 자동화?

api 사용해 일상적 보안 작업 자동화


5

전송 중 /저장된 데이터 보호?

암호 및 액세스 제어

태깅이 융 분류

vpn , tls 사용


6

공격 표면 최소화?

Cloud Front 사용,

WAF사용




<2> 인증


1

루트 사용자?

Email 형식으로 로그인함

모든 권한을 부여 받음.

사용하지 않도록 함

MFA 필수


2

IAM 사용자?

계정을 만들어 권한 제어가 가능한 사용자

admim , 개발자 , s3만 사용 iam 사용자를 만들 수 있다.

MFA 필수


3

인증 IAM 서비스?

Console에서 액세스 할 때 사용하는 이름과 암호 발급

AWS CLI 또는 AWS SDK를 사용해 직접 API를 호출할 때 사용하는 보안키와 액세스 키 발급


4

MFA 2차 인증 ( Multi-Factor Authentication)?

스마트폰에 Google Authenticator  설치

크롬 브라우저에  OTP 프로그램 설치



<3>  CloudTrail


CloudTrail 기본적으로 활성화됨

EC2 , S3 , RDS  API 호출   >   AWS CloudTrail  수집   >  분석




<4> 암호화 방식


키가 어디에 저장되나?


1

클라이언트 측 암호화?

AWS로 데이터를 보내기 전에 데이터를 암호화함.

자체 암호화키로 사용할 수 있다.

노트북에서 암호화하고  AWS로 데이터를 보내는 것


2

서버 측 암호화?

AWS 서비스에 데이터가 수신된 후 데이터를 사용자 대신하여 암호화함.

AWS에 데이터를 올렸을 때  올라간 이후,   AWS에서 암호화하는 것.

AWS에서 정기적으로 마스터키를 교체하도록 되어 있다.


3

KMS?

중앙 집중식 키 관리

AWS CloudTrail과 같이 기본 감사 기능을 제공한다.


4

전송 중 데이터 보호?

TLS 또는 IPsec을 통한 네트워크 통신 인증

ACM 사용하여 SSL/TLS 인증서 관리

HTTPS 트래픽만 허용하여 전송 중 암호화 적용



<5>  VPC 보안 


보안 그룹과 네트워크 ACL을 설정한다.

보안 그룹

네트워크 ACL



감사합니다.

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari