[AWS Cloud Practitioner] CH.6 Security

📌AWS 공동 책임 모델

1️⃣고객 책임; 클라우드 내부의 보안

 

2️⃣AWS 책임; 클라우드 자체의 보안

 

 

📌AWS Identity and Access Management (IAM)

: 서비스와 리소스에 대한 액세스 관리

 

1️⃣ 루트 사용자

: AWS 계정 첫 생성 시의 자격

 

-모든 서비스 및 리소스에 대한 전체 액세스 권한 소유

-첫번째 IAM 사용자 생성 후 사용자 생성 권한을 할당한 후 사용

- Multi-Factor Authentication(MFA) 사용 권장

 

2️⃣ IAM 사용자

: 사용자가 AWS에서 생성하는 자격 증명

-기본적으로  연결된 권한 없음

 

3️⃣ IAM 정책

: AWS 서비스 및 리소스에 대한 권한을 허용하거나 거부하는 문서

-IAM 정책을 사용해 리소스에 액세스할 사용자 지정

 

4️⃣ IAM 그룹

:  IAM 사용자의 모음

-해당 그룹의 모든 사용자에게 정책에 지정된 권한을 일괄적으로 부여

 

5️⃣ IAM 역할

: 임시로 권한에 액세스하기 위해 수임할 수 있는 자격 증명

-이전 역할에 지정된 모든 권한을 포기하고 새 역할에 지정된 권한을 수임

 

 

📌AWS Organizations

: 여러 AWS 계정을 관리하는 중앙 위치

 

-여러 계정을 하나의 조직으로 결합해 중앙에서 관리

-계정 계층적 그룹화 구현 가능; 조직 단위인 OU 또는 비즈니스 단위인 BU

  ➡ 계정을 조직 단위(OU)로 그룹화하면 정책 적용 시  OU의 모든 계정이 정책에 지정된 권한을 자동 상속

-서비스 제어 정책 SCP를 사용하여 각 멤버 계정에서 액세스할 수 있는 서비스 제한

 

 

📌규정 준수

1️⃣ AWS Artifact

: AWS 보안 및 규정 준수 보고서 및 일부 온라인 계약에 대한 온디맨드 액세스를 제공하는 서비스

 

-두가지 섹션으로 구성

AWS Artifact Agreements	특정 규정의 적용을 받는 고객의 요구 사항을 해결하기 위한 다양한 유형의 계약이 제공
AWS Artifact Reports	외부 감사 기관이 작성한 규정 준수 보고서를 제공

 

2️⃣ Customer Compliance Center

: AWS 규정 준수에 대해 자세히 알아볼 수 있는 리소스가 포함

 

 

📌AWS Shield

: DDoS 공격으로부터 애플리케이션을 보호하는 서비스

 

-두가지 보호 수준을 제공

AWS Shield Standard	-무료 서비스 -실시간으로 악성 트래픽을 탐지하고 자동으로 완화
AWS Shield Advenced	-유료 서비스 -Amazon CloudFront, Amazon Route 53, Elastic Load Balancing과 같은 다른 서비스와도 통합 -사용자 지정 규칙을 작성해 AWS WAF와 통합

 

 

📌추가 보안 서비스

 

1️⃣ AWS Key Management Service (AWS KMS)

:  암호화 키를 사용하여 암호화 작업 수행 서비스

-암호화 키 생성 및 관리

-광범위한 서비스에서 키 사용을 제어

- 키를 관리할 수 있는 IAM 사용자 및 역할을 지정

 

2️⃣ AWS WAF

: 웹 애플리케이션 방화벽

- Amazon CloudFront 및 Application Load Balancer와 함께 작동

-웹ACL을 이용해 특정 요청을 차단 

 

3️⃣ Amazon Inspector

:  자동 보안 평가 수행 및 보안 및 규정 준수 개선 서비스

-평가 수행 후 보안 탐지 결과 목록 제공

-보안 문제 해결은 미보장

- Amazon EC2 인스턴스에 대한 오픈 액세스, 취약한 소프트웨어 버전 설치와 같은 보안 모범 사례 위반 및 보안 취약성 검사

 

4️⃣ Amazon GuardDuty

: AWS 인프라 및 리소스에 대한 지능형 위협 탐지 기능 제공 서비스

-네트워크 활동 및 계정 동작 지속적으로 모니터링, 위협 식별

-위협을 탐지한 경우 AWS Management Console에서 탐지 결과를 검토

-GuardDuty 보안 탐지 결과에 대해 자동으로 문제 해결 단계를 수행하도록 AWS Lambda 함수 구성