AWS CLOUD 2017 - 쉽게 알아보는 AWS 클라우드 보안 (신용녀 솔루션즈 아키텍트))
6 likes•4,192 views
AWS CLOUD 2017 - 쉽게 알아보는 AWS 클라우드 보안 (신용녀 솔루션즈 아키텍트))
- 1. 쉽게 알아보는 AWS 클라우드 보안
- 2. 목 차 • 클라우드 컴플라이언스와 자동화(Automation) • 새로 추가된 보안 서비스 • 확장(Scalability) 가능한 보안
- 3. Evolution “Cloud will account for 92 percent of data center traffic by 2020” - Global Cloud Index (GCI) Forecast
- 5. 아마존 로봇 기반 배송 예측 시스템 • 물류 순환 속도: 60~75분 ▶ 15분 • 재고 공간: 50% ↑ • 운영비용: 약 20%↓
- 6. AWS Compliance Care deeply about data security We work to get this right for customers
- 7. 데이터 소유권 (Data Ownership) …AWS 모든 리전은 지리적으로 격리되도록 디자인 되어있습니다.Isolated by Design Data is not replicated Customers always own their data …고객이 AWS에 요청하지 않는한, 어떠한 경우에도 데이터를 다른 리전에 복제하지 않습니다. …고객만이 데이터를 소유하고, 암호화하고, 이동시키고, 지울수 있습니다. …고객이 자신의 데이터를 어디에 저장될지 선택합니다.Where to place their data
- 8. AWS는 주요 규제/표준/모범사례를 준수합니다. 90+ services 7,710 Audit Artifacts 2,670 Controls 3,030 Audit Requirements 보안 기준을 지속적으로 개선하기 위해서 모든 것을 구축합니다
- 9. 컴플라이언스 – AWS Artifact Self-Service • SOC • PCI • ISO
- 11. 컴플라이언스를 보다 쉽게 만들어 드립니다. AWS SOLUTION: Marketplace Program – Allgress
- 12. 컴플라이언스를 보다 쉽게 만들어 드립니다. AWS SOLUTION: Marketplace Program – Allgress
- 13. 인프라 보호 로깅 모니터링 구성 및 취약점 제어 데이터 보호 aws.amazon.com/mp/security 계정 및 접근제어 Deep Security-as-a-Service VM-Series Next- Generation Firewall Bundle 2 vSEC Web Application Firewall Unified Threat Management 9 FortiGate-VM SecureSphere WAF CloudInsight Security Platform (ESP) for AWS SecOps Log Management & Analytics Enterprise Cost & Security Management DataControl Transparent Encryption for AWS SafeNet ProtectV Identity & Access Management or AWS Security Manager OneLogin for AWS Identity Management for the Cloud One-click launch Ready-to-run on AWS Pay only for what you use 필요에 따라 네트워크/보안 관련 다양한 솔루션들을 선택하실 수 있습니다.
- 14. Amazon S3 AWS Lambda Amazon CloudWatch AWS CloudTrail 컴플라이언스를 보다 쉽게 만들어 드립니다.
- 15. “AWS와 긴밀한 협조하에 보안 모델을 개발하여, 우리 자체 데이터센터에서 하는 것 보다 더 안전하게 퍼블릭 클라우드를 운영할 수 있게 되었습니다” – Rob Alexander, CIO, Capital One
- 16. 더 나은 가시성 (네트워크, 시스템, 감사)
- 17. AWS Trusted Advisor Security
- 19. AWS Inspector • Agent 기반 - 어플리케이션 보안 수준 진단 • 보안 진단 결과 – 가이드 제공 • API를 통한 자동화 • Rule Package • CVE (common vulnerabilities and exposures) – 수천개 항목 • Network security best practices • Authentication best practices • Operating system security best practices • Application security best practices
- 23. 더 나은 제어 (데이터, 사용자, 네트워크)
- 24. 퍼스트 클래스 보안 및 규정준수는 암호화로 시작됩니다. (그리고 끝나지 않습니다!)
- 25. Encryption - 전송중 / 저장시 암호화 자세한 정보가 담긴 백서,“Securing Data at Rest with Encryption”. 전송 중 암호화 HTTPS SSL/TLS SSH VPN Object 저장 시 암호화 Object Database Filesystem Disk
- 26. AWS KMS - 암호화키 생성/보관/관리 Customer Master Key(s) Data Key 1 Amazon S3 Object Amazon EBS Volume Amazon Redshift Cluster Data Key 2 Data Key 3 Data Key 4 • 암호화키를 안전하게 생성/보관/관리 해주는 관리형 서비스 • 중앙 집중 암호화 키 관리: EBS S3 Redshift AWS SDK AWS CloudTrail 자세한 내용을 담고 있는 백서: KMS Cryptographic Details.
- 27. AWS Key Management Service Integrated with Amazon EBS
- 28. AWS Certificate Manager (ACM) • SSL/TLS 인증서를 손쉽게 생성, 관리, 적용 시켜주는 서비스 • 인증서를 쉽고 빠르게 생성 및 웹 사이트 적용 • ACM 제공 인증서는 “Managed” 로 자동으로 인증서 갱신 • RSA 2048 과 SHA-256 알고리즘으로 ELB나 CloudFront에 연동되는 무료 서비스 * CF Distribution 적용시 리전 제약 없음
- 29. USER에 대한 더 나은 제어
- 30. AWS Identity and Access Management (IAM) AWS서비스와 리소스에 대한 안전한 접근 통제 사용자 이름 / 사용자 사용자 그룹 관리 중앙화된 접근 제어 관리 • 사용자, 그룹, 롤(Role) 및 권한 • 제어 • 중앙집중식 • 잘 갖춰진 – APIs, 자원 및 AWS 관리 콘솔 • 보안 • 기본적으로 안전함(거부 규칙) • 다중 사용자, 개별 보안 신원 및 권한 계정에서 누가 무엇을 할 수 있는지 제어
- 32. NETWORK에 대한 더 나은 제어
- 33. AWS Cloud 내에 격리된 사설 네트워크를 생성
- 34. AWS WAF 웹방화벽 Good users Bad guys AWS WAF region Amazon CloudFront AWS WAF AWS ELB (External / Internal) 모두에서 WAF Rule 설정 가능 CloudFront를 쓰지 않는 고객 및 CF를 경유하지 않는 서비스에 적용 * 지원리전: Virginia, Oregon, Tokyo, Ireland
- 35. • AWS 통합 • DDoS protection without infrastructure changes • 합리적 비용 • Don’t force unnecessary trade- offs between cost and availability • 유연함 • Customize protections for your applications 무중단 탐색 및 완화 Minimize impact on application latency Standard Protection Advanced Protection AWS Shield 관리형 DDoS 보호 서비스
- 36. • 일반적인 DDoS공격에 대한 보호 및 AWS상에서 DDoS 공격에 가장 잘 견 딜수 있는 아키텍쳐를 구성하기 위한 Best practice 및 서비스에 대한 접근 • 더 크고 복잡한 공격에 대응하기 위한 추가 적인 보호를 제공하며, 공격에 대한 가시성 제공 및 공격으로 인한 AWS 사용 비용 보호, L7 공격 보호 및 복잡한 공격들에 대한 24x7 의 DDoS 전문 대응팀 지원 Standard Protection Advanced Protection AWS Shield 관리형 DDoS 보호 서비스 지원리전: Virginia, Oregon, Tokyo, Ireland
- 37. 더 나은 감사기능 (컴플라이언스, 히스토리, 로그)
- 38. But what does a jellyfish have to do with compliance? 감사 증적 • 많은 수의 컴플라이언스 감사작업에서 임의 시간에 시스템상태에 대한 접근을 필요 (i.e., PCI, HIPAA) • 모든 리소스와 그것들의 구성정보에 대한 완벽한 인벤토리는 어떤 순간에도 활용 가능해야 한다.
- 39. 모든 작업은 API 콜로 처리됨... 사용하는 서비스와 인스턴스들이 늘어 남에 따라 … CloudTrail은 계속해서 모든 API 요청들에 대해 신뢰성 있는 기록을 수행… AWS CloudTrail AWS상의 모든 관리작업에 대한 로깅
- 40. AWS Config AWS 리소스에 대한 인벤토리 관리와 구성정보 변경관리 및 통보(AWS SNS) 변경 관리 감사 컴플라이언스 보안 분석 Troubleshooting Discovery 보안 분석: 나는 안전한가요? 규정 감사: 어디에 증거가 있나요? 변경 관리: 이 변경에 대한 영향은? 문제 해결: 무엇이 변경되었나요?
- 41. AWS Config Relationships AWS 리소스에 대한 인벤토리 관리와 구성정보 변경관리 및 통보(AWS SNS)
- 42. Resource Relationship Related Resource Customer Gateway is attached to VPN Connection Elastic IP (EIP) is attached to Network Interface is attached to Instance Instance contains Network Interface is attached to Elastic IP (EIP) is contained in Route Table is associated with Security Group is contained in Subnet is attached to Volume is contained in Virtual Private Cloud (VPC) Internet Gateway is attached to Virtual Private Cloud (VPC) AWS Config
- 43. AWS Config Rules • 변경된 내역에 대해 검증하는 규칙 설정 • AWS가 제공하는 내장된 규칙 사용 • AWS Lambda를 활용한 커스텀 규칙 지원 • 지속적인 진단수행을 자동화 • 컴플라이언스 시각과나 위험한 변경을 식별하기 위해 대쉬보드 제공
- 44. AWS Config Rules
- 45. AWS Config Rules
- 46. AWS Service Catalog • 사용이 승인된 IT 서비스 카탈로그를 생성하고 관리 VM 이미지, 서버, 소프트웨어, 데이터베이스 • 배포된 IT 서비스를 중앙에서 관리 • 일관된 거버넌스를 달성하고 규정 준수 요건을 충족하는 도움 • 기업 표준 규정 준수 보장 • 직원이 승인된 IT 서비스를 신속하게 검색 및 배포하도록 지원
- 47. Portfolio 생성 제약사항 추가 및 접근 허용 1 4 5 관리자 포트폴리오(Portfolio) 사용자 Products 검색(Browse) 6 Products 생성(Launch ) AWS 클라우드포메이션 템플릿 Product 생성 3Template 작성(Authors) 2 ProductX ProductY ProductZ 7 스택(Stacks) 배포 이벤트(Events) 전송 이벤트(Events) 전송 8 8 사용자 서비스 생성 및 접근 허용 서비스를 찾고 생성하기 위한 개인화된 포털 사용 AWS Service Catalog AWS 리소스 생성 및 관리용 셀프서비스 포털
- 48. 49 더 이상 보안은 클라우드 도입을 가로막는 걸림돌이 아닙니다!
- 49. 사례 연구 : 암호화 기반의 빅 데이터 분석 What Nasdaq 요구사항 • 기존 데이터웨어 하우스의 저렴하게 교체 • 비용은 줄이고, 데이터 용량 및 처리는 증대 왜 AWS (특히 아마존 Redshift)를 선택 • 보안 및 규정 준수 요구 사항을 충족 • 현재 전제된 기능을 희생하지 않고 비용을 개선 기대효과 • 아마존 Redshift에 하루 평균 데이터의 55 억행 처리 가능 (2014년 10월의 피크날, 데이터의 140 억행 처리) • 회사 내 여러 부서에서 데이터를 접근 및 분석, 처리가 가능한 환경 구현 "나스닥 그룹은 클라우드 도입 이후 아마존 Redshift를 사용하기 때문에 매우 만족하고 있다. 현재, 매일 우리가 아마존 Redshift에 55 억 행 데이터가 처리 되고 있습니다.” -- Nate Simmons, Principal Architect http://aws.amazon.com/cn/solutions/case-studies/nasdaq-finqloud/ http://aws.amazon.com/solutions/case-studies/nasdaq-omx/
- 50. "시장에서 AWS 모니터링 플랫폼을 사용하여 우리는 40 %의 비용 절감을 달성 할 것으로 예상하지만, 더 중요한 장점은 새로운 비즈니스를 얻는 것입니다 : 우리가 할 수 있는 일에 집중하고 새로운 혁신을 할 수 있는 것은 귀중한 혜택입니다. -- Steve Randich, CIO 사례 연구 : 규제 감시 및 리스크 사전 분석 FINRA 요구사항 • 시장 감시 인프라를 구축하는 플랫폼 • 300 억건의 매일 발생하는 시장 이벤트의 저장 및 분석을위한 지원 AWS를 선택한 이유 • FINRA의 보안 및 요구 사항 만족 • 유연한 플랫폼 (하둡, 하이브 및 HBase를), 아마존 EMR, 아마존 S3 동적 클러스터 배포를 통한 구축 기대효과 • 유연성, 속도와 비용 절감을 증가 • AWS를 사용하는 비용은 $1에서 $1M 까지 탄력적으로 활용할 수 있었음 http://aws.amazon.com/cn/solutions/case-studies/finra/
- 51. "데이터 센터와 백업 및 재해복구 센터에 대한 전면재조정함에 따라 8개의 센터에서 3개의 센터까지 조정을 완료하고, 최종적으로는 2개의 센터만 유지하는것을 결정: 우리가 할 수 있는 일에 집중하고 새로운 혁신을 할 수 있는 것은 귀중한 혜택입니다. CapitalOne 요구사항 • 최신 IT 기술 수용 및 환경 도입에 따른 클라우드 기반의 플랫폼 체계 수립 AWS를 선택한 이유 • AWS는 금융 서비스 기관처럼 규제가 심하고 데이터에 민감한 산업에서 조차 새로운 표준(New Normal)이 되었음 기대효과 • 4개 사업부로 확대 적용(Retail Bank/Investing/Auto Finance/IT-InfoSec) • 데이터센터 이관 완료로 인해 년간 1조 5천억 IT 운영 및 자산에 대한 관리 비용 절감(500개 App, 4000개 VM 운영) 사례 연구 : 금융 클라우드 인프라 주 공급 업체로 AWS https://aws.amazon.com/ko/solutions/case-studies/capital-one/
- 52. 이제는 보안과 규제준수가 클라우드를 도입하는 중요한 이유가 되고 있습니다!
- 53. 감사합니다