Cloud Security : AWS의 클라우드 보안 솔루션

안녕하세요 MC에몽입니다.

지난주에 이야기한 클라우드 보안에 이어서, 이번 주 부터는 각 CSP사에서 제공하고 있는 클라우드 보안 솔루션들에 대해 알아보겠습니다.

 

 

첫번째로 알아볼 CSP는 “AWS”, 아마존 웹 서비스입니다.

 

위에 보시는 그림은 AWS가 제공하는 대표적인 “보안 솔루션” 리스트입니다.

AWS는 가장 처음 시작된 Public Cloud 서비스인 만큼, 정말 다양한 보안 솔루션을 제공하고 있습니다. 

위의 4가지 분류 “Data protection”, “Identity, directory, and access”, “Detective controls and management”, “Networking and infrastructure”의 각각 대표적인 솔루션들을 하나씩 중점적으로 다루면서 이야기해 보겠습니다.

 

첫 번째로 “Data protection”에 대해 알아보도록 하겠습니다.

IT산업, 4차혁명의 시대에서 가장 중요한 자산은 “데이터”입니다. 특히 클라우드가 도입되면서 기업들은 On-promise 환경만이 아니라 클라우드 환경에도 중요한 데이터들을 많이 보관하고 있습니다. 따라서 이 중요한 데이터들을 각종 공격으로 부터 보호하기 위한 강력한 “데이터 보안 솔루션”이 필요합니다.

AWS에서의 데이터 보안이란 비인가된 접근으로부터 데이터를 보호하는 절차의 강화를 의미합니다. AWS는 다음과 같은 솔루션들을 제공합니다.

1. 데이터의 암호화용 “Key”를 만들고 관리하는 “Key Management Service”
2. AWS 리소스에서 사용할 SSL/TLS 인증서를 관리 및 배포하는 “Certificate Manager”
3. 나만의 사설 CA를 생성 및 관리해주는 “ACM Private CA”
4. AWS 클라우드에서 자체 암호화 키를 생성 및 사용할 수 있도록 지원하는 하드웨어 보안 모듈인 “CloudHSM”
5. 기계 학습 및 패턴 일치를 활용하여 민감한 데이터를 검색하고 보호하는 “Macie”
6. 암호화 키를 활용하여 데이터를 받는 AWS 서비스 자체가 데이터를 암호화하는 “Server-side Encryption”

 

이중에서 우리가 중점적으로 다룰 대표적인 AWS 데이터 보안 서비스는 “Key Management Service”입니다.

KMS는 Key Management Service의 약자로, 데이터를 암호화 할때 사용되는 암호화 key를 안전하게 관리하는데 목적을 둔 서비스 입니다.

KMS는 AWS manager key, Customer managed key, Custom key store 3가지 방식으로 key 관리 서비스를 제공합니다.

AWS KMS를 사용해 키를 관리하면 다양한 이점을 얻을 수 있습니다. AWS KMS에선  마스터 키를 사용할 수 있는 별도의 권한이 있으므로 Amazon S3에 저장된 객체에 대한 무단 액세스를 차단하고 추가 제어 계층을 제공할 수 있습니다. 

또한 AWS KMS는 감사 추적을 제공하므로 데이터 암호 해독 권한이 없는 사용자의 실패한 데이터 액세스 시도를 볼 수 있을 뿐 아니라 누가 키를 사용해 어떤 객체에 언제 액세스했는지도 확인할 수 있습니다.

두 번째로 “Identity, directory, and access”에 대해 알아보도록 하겠습니다.

Cloud에서 Identity란 사용자와 그룹의 리소스에 대한 접근 권한 제한 자체를 의미하며 CSP는 다양한 툴을 사용하여 각 Identity에 따른 리소스 접근 권한을 세분화하여 관리합니다.

Identity가 중요한 이유는 중앙통제적 관리를 통해서 클라우드 환경의 리소스에 대한 악의적인 접근 자체를 차단할 수 있기 때문입니다. AWS는 다음과 같은 Identity 보안 솔루션들을 제공합니다.

1. 중앙 통제식으로 모든 사용자와 그룹들의 권한을 관리하는 “IAM”
2. AWS 계정 및 어플리케이션에 대한 접근을 통제하는 “Single Sign-On”
3. AWS에서 Microsoft Active Directory를 사용하게 해주는 “Directory Service”
4. 여러 AWS 계정을 조직에 통합하고 중앙에서 관리할 수 있는 계정 관리 서비스 “AWS Organizations”
5. AWS 계정 혹은 Organizations의 조직 또는 조직 단위에서 공유 리소스를 사용하게 해주는 “Resource Access Manager”
6. Database의 보안 정보 교체 및 관리 기능을 제공하는 “Secrets Manager”
7. 웹 및 모바일 앱에 대한 인증, 권한부여 및 사용자 관리를 제공하는 “Cognito”

 

이중에서 가장 대표적인 Identity service인 “IAM”에 관해 설명해 드리겠습니다.

AWS IAM은 암호나 액세스 키를 공유하지 않고도 AWS 계정의 리소스를 관리하고 사용할 수 있는 권한을 다른 사람들에게 부여할 수 있습니다. 또한 리소스에 따라 여러 사람들에게 필요한만큼의 세분화된 권한을 부여할 수 있습니다. 보안 강화를 위해 계정과 개별 사용자에게 멀티 팩터 인증(MFA)을 추가할 수 있습니다. 

위 기능들 외에도 IAM은 다양한 AWS 서비스들과 함께 통합되어 사용되어지는 정말 중요한 보안 솔루션입니다. 가장 필수적이고 핵심적인 보안 서비스이기에 무료로 제공되는 서비스이기도 합니다. 따라서 IAM을 잘 활용하는 것이 클라우드 보안에 매우 중요할 것입니다.

 

세 번째로 “Detective controls and management”에 대해 알아보도록 하겠습니다.

Detective controls 이란 보안에 문제가 되는 이벤트가 발생했을 때 탐지하는 것을 의미합니다. 단순히 탐지에서 끝나지 않고 해당 사항을 사용자에게 경고하고 지속적으로 모니터링 하는 솔루션들을 AWS에서는 제공하고 있습니다.

1. 보안 모범 사례를 확인하고, 자동화된 보안 검사 및 중앙 집중관리를 제공하는 “Security Hub”
2. AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 보안 결과를 제공하는 지능형 위협 탐지 서비스 “Guard Duty”
3. Catalog라는 형식으로 조직내 내부 사용자들에게 일관적이고 승인된 서비스만을 사용하도록 관리해주는 “Service Catalog”
4. 표준화된 리소스의 배포를 지원하는 “Launch Templates”
5. AWS 리소스의 구성을 측정, 감사 및 평가하는 “AWS Config”
6. AWS 인프라 전체의 계정 활동을 추적 및 기록하는 “CloudTrail”
7. 리소스와 어플리케이션에 대한 모니터링을 지원하는 “CloudWatch”
8. 워크로드의 취약성을 지속적으로 스캔하여 자동화 관리하는 “Inspector”
9. 규정 준수와 관련된 정보를 제공하는“Artifact”

 

대표적인 AWS의 Detective Service의 “CloudTrail”에 대해 알아보도록 하겠습니다. 

CloudTrail은 AWS 계정 내에서 이루어지는 모든 작업과 활동에 대해 기록하는 서비스이며 계정 내에서 이루어지는 API 호출에 대해서도 모두 기록을 합니다. 

AWS 계정 생성시 자동으로 활성화되며 최대 90일간의 기록을 볼 수 있으며, 최근 이벤트를 확인할 수 있는 이벤트 기록, ‘추적’ 기능, Insight 이벤트로 이루어져 있습니다. 서비스를 실행면서 기록된 데이터를 가지고 Detective가 발생을 하면 IP 주소 및 AWS 계정을 확인하여 탐지 결과가 실제 악의적인 활동인지, 아니면 긍정적인 활동인지를 빠르게 확인할 수 있습니다.

CloudTrail로 탐지되고 기록된 이벤트들은 log file로써 저장이 됩니다. 이 log file들을 Amazon Athena 같은 서비스를 이용하여 분석함으로써 보안의 취약성에 대해 파악하고 강화 할 수 있습니다.

 

마지막으로 “Networking and infrastructure”에 대해 알아보도록 하겠습니다. 

Network Infra는 네트워크 또는 인터넷 연결, 관리, 비즈니스 운영 및 통신을 가능하게 하는 네트워크의 모든 리소스를 의미합니다. 네트워크 인프라는 하드웨어 및 소프트웨어, 시스템 및 장치로 구성되며 사용자, 서비스, 응용 프로그램 및 프로세스 간의 컴퓨팅 및 통신을 가능하게 합니다.

AWS에서 제공하는 네트워크 인프라에 대한 보안 솔루션은 다음과 같습니다.

1. 독립적이고 격리된 클라우드 네트워크 환경을 제공하는 “Virtual Private Cloud”
2. 방화벽 정책을 이용해 웹 공격으로 부터의 방어를 제공하는 “AWS WAF”
3. AWS에서 실행되는 애플리케이션을 DDoS 공격으로부터 보호하는 “AWS Shield” 
4. 각 계정들에 대한 WAF 규칙들을 관리하는 “Firewall Manager”
5. 퍼블릭 인터넷에 트래픽을 노출하지 않고도 AWS 클라우드와 On-promise 네트워크 간의 비공개 연결을 제공하는 “PrivateLink”

AWS의 네트워크에 대한 보안 솔루션 중 “Shield”에 대해 알아보도록 하겠습니다.

AWS Shield는 AWS에서 실행되는 웹 애플리케이션을 DDoS 공격으로부터 보호하는 관리형 서비스입니다. AWS Shield Standard는 추가 비용 없이 모든 AWS 고객에게 자동으로 활성화합니다. Standard는 AWS에서 애플리케이션의 고가용성을 지원하기 위해 SYN/UDP floods, 반사 공격과 같은 일반적이고 가장 빈번히 발생하는 인프라 3L & 4L 공격으로 부터 모든 AWS 고객을 보호합니다. 

좀 더 높은 수준의 보호를 구현하기 위해서는 유료 서비스인 AWS Shield Advanced를 사용할 수 있습니다. 추가적으로 대규모 DDoS 공격에 대한 추가 보호 및 완화, 실시간에 가까운 공격에 대한 가시성, 웹 어플리케이션 방화벽 WAF와의 통합같은 기능들이 추가로 제공됩니다.

 

오늘은 다양한 AWS에서 보안 솔루션에 대해서 알아보았습니다. 

다음 시간에는 또 다른 CSP인 GCP에서 제공하는 보안 솔루션에 대해서 알아보도록 하겠습니다.

 

See you next time!

 

참고문헌 : 

1. AWS : KMS 개념 
https://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/concepts.html

2. AWS : IAM이란 무엇입니까?
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/introduction.html

 

3. AWS : 표준화된 보안 로깅 - AWS CloudTrail
https://aws.amazon.com/ko/cloudtrail/

4. AWS : AWS Shield
https://aws.amazon.com/ko/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc

5. AWS : AWS의 솔루션 아키텍트
https://www.slideshare.net/awskorea/aws-compute-ec2-lambda-ecs-batch-elastic-beanstalk-aws-aws-builders-200