Hack3rSoltion의 클라우드 보안 이야기

AWS에는 많은 서비스들이 있습니다.보안 서비스들도 많죠.그중 가장 중요도가 높은 서비스가 무엇이냐고 저에게 묻는다면 저는 'AWS IAM'이라고 대답할 것입니다.AWS IAM은 사용자의 AWS 서비스와 리소스에 대한 액세스를 통제할 수 있습니다. 또한, AWS 사용자 및 그룹을 만들고 관리하며 AWS 리소스에 대한 액세스를 허용 및 거부할 수 있습니다. 여기서 사용자는 사람이 될 수도 있고 EC2 등을 포함한 AWS의 서비스가 될 수도 있습니다.따라서 AWS IAM은 사람이나 AWS에 대한 모든 인증과 권한을 관리하는 막강한 서비스라고 할 수 있을 것입니다.어쩌면 AWS에서 제공하는 모든 서비스들 중에서 가장 설명하기 어려운 서비스일 것입니다.AWS IAM은 많은 사용경험을 바탕으로 노하우가 쌓여야만 ..

오늘은 기본적인 보안의 틀을 제공하는 접근법에 대해 알아보겠습니다.소개해드릴 내용은 Security by Design입니다.보안 및 규정준수를 유지하기 위한 4단계 접근법을 주된 내용으로 하고 있습니다.상세 자료는 아래 링크를 클릭해주세요. http://d0.awsstatic.com/International/ko_KR/whitepapers/Compliance/Intro_to_Security_by_Design.pdf 저는 이 백서에서 안내하는 내용을 요약하고 실무에 적용될 수 있도록 저의 생각을 덧붙이겠습니다. Security by Design(이하 SbD)1. 서문 SbD는 여러 산업계, 표준 및 보안 기준 전체에서 대규모의 보안 및 규정 준수를 유지하기 위한 4단계 접근법을 포괄합니다. 보안 감사가 과..

오늘은 마지막으로 보안 체크리스트 S3에 대해 알아보겠습니다. 1. 공용 액세스 S3 버킷을 만들지 마세요. a. IAM 또는 S3 버킷 정책을 사용하여 S3 버킷에 대한 액세스를 제어하세요. b. 버킷 정책을 설정할 때에는 다음과 같은 항목들을 고려해야 합니다. i. 추가 조건을 포함하여 여러 계정에 권한 부여 ii. 익명 사용자에게 읽기 전용 권한 부여 iii. 특정 IP 주소 액세스 제한 iv. 특정 HTTP 참조자에 대한 액세스 제한 v. Amazon CloudFront 오리진 자격 증명에 권한 부여 vi. MFA가 필요한 버킷 정책 추가 vii. 버킷 소유자가 완벽하게 제어할 수 있도록 보증하면서 객체에 업로드하는 교차 계정 권한 부여 viii. Amazon S3 인벤토리 및 Amazon S3 ..

어제에 이어 오늘은 보안 체크리스트 General에 대해 알아보겠습니다. 1. 암호화 된 EBS 볼륨만 사용하세요. a. 일반적인 AES-256 알고리즘을 사용하여 데이터, 스냅샷 및 디스크 I/O를 암호화하세요. b. 암호화된 EBS 볼륨을 만들고 지원되는 인스턴스 유형에 이 볼륨을 연결하면 다음 유형의 데이터가 암호화됩니다. i. 볼륨 내부에 있는 데이터 ii. 볼륨과 인스턴스 사이에서 이동하는 모든 데이터 iii. 볼륨에서 생성된 모든 스냅샷 iv.그런 스냅샷에서 생성된 모든 볼륨 c. 암호화된 EBS 볼륨을 사용하는 건 데이터보안의 기본입니다. 2. VPC 플로우 로그를 활성화하세요. a. 추가 분석을 위해 VPC의 네트워크 인터페이스와 주고 받는 IP 트래픽을 수집합니다. b. 흐름 로그 레코드..

AWS에서는 보안 체크리스트를 제공하고 있습니다.크게 General, EC2/VPC/EBS, S3의 세가지 챕터로 나뉘어져 있는데 오늘은 General에 대해 알아보겠습니다. 1. Root Account를 보호하세요. a. 개인 키 뱅킹 액세스를 보호하는 것과 동일한 방법으로 액세스 키를 보호하세요. b. AWS는 물론 모든 클라우드 서비스에서 가장 기본이자 중요한 항목입니다. c. AWS 계정에 대한 액세스 키는 결제 정보를 포함하여 모든 AWS 서비스의 전체 리소스에 대해 완벽한 액세스 권한을 부여합니다. AWS 계정 액세스 키에 연결된 권한은 제한할 수 없습니다. d. 따라서 매우 강력한 장치들로 AWS 계정 액세스 키를 보호해야 합니다. i. AWS 계정에 대한 액세스 키가 아직 없다면 필요할 때..