SlideShare uma empresa Scribd logo
1 de 81
Baixar para ler offline
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SECURITY
FIRST
ISV/DNB
Security Webinar
조이정 솔루션즈 아키텍트
April. 2020
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
목차
• Why encryption ?
• AWS KMS(Key Management Service)
• Why WAF ?
• AWS WAF(Web Application Firewall)
• Demo! on AWS WAF
• Quiz ! on AWS KMS & AWS WAF + 문제풀이
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SECURITY
FIRST
AWS KMS
ISV/DNB Webinar
조이정 솔루션즈 아키텍트
April. 2020
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Why Encryption ?
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
4차 산업 혁명의 주인공, 데이터
출처 : https://www.aparavi.com/data-growth-statistics-blow-your-mind/
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
데이터 암호화의 중요성 ?
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
데이터 암호화의 중요성 !
1. Improve employee awareness
2. Implement access controls for apps and data
3. Add additional data usage controls
4. Monitor data usage
5. Encrypt all data
6. Secure employee devices
7. Secure IoT devices
8. Conduct regular risk assessments
9. Opt for off-site data backup
10. Scrutinise third parties and partners
5. Encrypt all data
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS의 shared responsibility model
고객측 IAM
AWS IAM
방화벽 설정(S/G, NACL)
데이터
AWS IAM
데이터
어플리케이션
운영체제
네트워킹/방화벽
데이터
고객측 IAM
AWS IAM
Infrastructure
Services
Container
Services
Abstract
Services
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Preview to Encryption
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
암호화 기본 개념
Plaintext Data Key
Encryption
Algorithm Ciphertext
Plain text Data key Algorithm Encrypted data
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
암호화 기본 개념
Encryption Algorithm
Plaintext
Ciphertext
Data Key
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
대칭키 vs. 비대칭키
• 대칭키 방식
ü 하나의 key를 사용하여 데이터를 암/복호화
ü 상대방과 안전하게 키 공유가 어려움
• 비대칭키 방식
ü 2개의 키 생성 후, 하나는 공개 (Public key), 하나는
안전하게 보관 (Private key)
ü Public Key로 암호화한 내용은 Private Key로만
복호화 가능
ü 대칭 Key의 단점인 암호 통신 시 Key 공유 문제
해결, 하지만 속도가 느림
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
HSM
• HSM (Hardware Security Module)
ü 강력한 인증을 위해 디지털 키를 보호 및 관리하고
암호화 처리를 제공하는 물리적 컴퓨팅 장치
ü 암호키 탈취 대비 기능
ü Audit 을 위한 로그 저장
ü 국제 표준 준수
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS KMS (Key Management Service)
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
키 관리 솔루션 선택 시 주요 고려사항
§ 어디에 키를 보관할 것인가?
• 소유한 하드웨어 장비?
• 클라우드 사업자의 하드웨어 장비?
§ 어디에서 키를 사용할 것인가?
• 고객이 통제하는 클라이언트?
• 클라우드 사업자가 통제하는 서버환경?
§ 누가 키를 사용할 수 있는가?
• 권한을 가진 사용자 혹은 어플리케이션?
• 권한을 부여한 클라우드 사업자의 어플리케이션?
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
KMS(Key Management Service)이란?
§ 데이터 암호화에 사용하는 암호화 키를 쉽게 생성/보관/관리해주는 관리형 서비스
§ 서버측 / 클라이언트 측 암호화를 지원
§ 중앙 집중 암호화 키 관리 :
EBS S3 Redshift
AWS
SDK
AWS CloudTrail
Customer
master key
S3
bucket
EBS
volume
RDS
instance
CMK
Data key Data key Data key
Key Management Service
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Customer Master Keys 와 Data Keys
§ Customer Master Keys (CMKs)
• 데이터 키를 생성 및 암호화
• 고유한 ARN
• AWS KMS 인프라를 벗어나지 않음
• HSM 에서 생성되거나 고객에 의해 import
• Region specific, globally unique
§ Data Keys
• 데이터 암호화
• AWS KMS 인프라 내에서 생성
• CMK에 의해 보호됨
• 암호화 되지 않은 상태로 영구 스토리지에 보관하지 말 것 !
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
KMS의 봉투 암호화
§ 2계층 키 구조와 봉투 암호화
• 데이터를 암호화하는데 사용되는 데이터 키
• 고객 마스터 키(CMK)를 통해 데이터 키를
암호화
• CMK 정책으로 데이터에 대한 접근 제어
§ 장점
• 데이터 키의 변조 위험 감소
• 대용량 데이터 암호화에 대한 성능 향상
• 수백만 데이터 키들보다 훨씬 적은 수의
마스터 키를 집중 관리하는게 효율적
• 키 관련 행위에 대한 중앙 집중식
접근관리와 감사 (CloudTrail)
Encrypted
Data Key
Encrypted
Data
Plaintext Data
Encrypted
Message
Key Encryption
Key (CMK)
Plaintext Data Key Encryption
Algorithm
Encryption
Algorithm
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
KMS 키를 사용하는 방식
Your application or
AWS service
+
Data key Encrypted data key
Encrypted
data
Master keys in
customer’s account
KMS
1. 클라이언트에서 KMS 마스터 키 ID를 전달하면서 kms:GenerateDataKey 실행요청.
2. 제출된 요청에 대해 사용자와 키 각각의 권한을 확인.
3. KMS마스터 키 밑에 데이터 암호화 키를 랜덤하게 생성함.
4. 클라이언트 측에 평문 키와 암호화된 키를 전달.
5. 평문 키는 데이터를 암호화 하는데 사용되고 바로 삭제됨.
6. 암호화된 데이터 키는 추후 사용에 대비하여 저장됨. 나중에 복호화 필요시,KMS쪽에 보관된 암호화 키를
제출하여 복호화된 키를 받아서 사용함.
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
KMS 암호화
Encrypt API Result
요청 결과의 CiphertextBlob 이나 EncryptionContext 가
decrypt 요청 시 동일하지 않으면 요청이 실패 됨
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 상에서 암호화를 적용하는 2가지 타입
서버 측 암호화(Server-Side Encryption)
• AWS가 전송된 데이터에 대해 고객 대신 서버 측에서 암호화 작업 수행
• 총 34 개 서비스 연동 : Amazon S3, Amazon EBS, Amazon RDS, Amazon Redshift, Amazon
WorkSpaces, Amazon Kinesis Streams, AWS CloudTrail…
• 고객 관리 통제 하에 AWS KMS에 암호화 키 보관
클라이언트 측 암호화(Client-Side Encryption)
• 데이터를 전송하기 전에 암호화 수행
• 고객이 직접 암호화 키를 마련하고 직접 관리하거나, AWS KMS/CloudHSM내에 보관 관리
• 도구들: AWS Encryption SDK, S3 Encryption Client, EMRFS Client, DynamoDB Encryption
Client
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
서버 측 암호화
Client-side
Server-side
Request
KMS
②
③
+
④
CMK
Data key Data key
Data key Data key
Plaintext
data key
Encrypted
data key
①
Encryption
Algorithm
Data key Data key
Plaintext
data key
Encrypted
data key
⑤
Data key
Plaintext
data key
Removed from
memory
+ +
XEncryption
Algorithm
Encrypted
data
+
Stored in S3
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
서버 측 암호화 - EBS 볼륨 암호화
§ create-volume [--dry-run | --no-dry-run] [--size <value>] [--snapshot-id
<value>] --availability-zone <value> [--volume-type <value>] [--iops
<value>]
[--encrypted | --no-encrypted] [--kms-key-id <value>] [--cli-input-json
<value>] [--generate-cli-skeleton]
Console
AWS CLI/SDK
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 서비스의 AWS KMS 활용 방식
<AWS KMS와 통합되는 AWS 서비스>
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
클라이언트 측 암호화
Client-side
Server-side
Application
Master Key Provider
(Keyring)
②
③
+
CMK
Data key
Data key
Plaintext
data key
Encrypted
data key
①
AWS Encryption
SDK
Encryption
Algorithm
Data key
Plaintext
data key
+ +
Encryption
Algorithm
Encrypted
data
Data key
Encrypted
data key
+
S3
Encrypted
data
Metadata
Data key Data key
On-prem
HSM
AWS CloudHSMAWS KMS
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Encryption SDK
암호화 작업에서, 개발자는 다음 2개의 사항만 고려:
• 암호화 할 메세지/파일/데이터스트림
• 마스터 키들을 리턴하는 마스터 키 제공자(key provider)
SDK를 다양한 방식으로 커스터마이징해서 사용
• 복수 리전에서 복수개의 키를 활용하여 암호화
• 성능향상 이나 KMS Limit을 회피하기 위해 데이터 키 캐싱 기능을 이용하여 KMS로의 요청을 절감
현재 Java, Python, JavaScript, C, CLI 버전 제공
http://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
키 캐싱 ­ 안하는 경우
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
키 캐싱 ­ 하는 경우
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
CMK 의 종류
§ AWS 소유 CMK : ex) SSE-S3
§ AWS 관리형 CMK : ex) SSE-KMS : aws/s3
§ 고객 관리형 CMK : ex) SSE-KMS : 사용자 지정 KMS ARN
§ 고객 관리형 CMK를 import 할 수 있는 방법
§ KMS
§ CloudHSM
§ 외부에서 import
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
콘솔 상의 키 정책 화면
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
마스터 키 교체 주기 설정
§ 교체주기의 의미:
• 신규 마스터키를 생성하고, 동일한 키 아이디 혹은 Alias를 맵핑하게 됨.
• 새로 들어오는 모든 요청은 신규 마스터 키로 작업.
• 이전 버전들은 복호화를 위해 전부 보관됨
§ 키 교체와 관련하여 사용자나 어플리케이션에서 별도로 진행할 내용은 없음.
동일한 키 아이디나 Alias 유지
AWS CLI
enable-key-rotation --key-id <value>
Console (Key Summary Page)
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
CloudTrail상의 KMS키 사용로그 내용
"EventName":"DecryptResult", 다음 액션에 해당하는 API가 호출됨
"EventTiime":"2014-08-18T18:13:07Z", ….호출된 시간
"RequestParameters":
§ "{"keyId":"2b42x363-1911-4e3a-8321-6b67329025ex”}”, …사용된 키에 대한 정보
“EncryptionContext":"volumeid-12345", …키가 사용된 AWS 리소스
§ "SourceIPAddress":" 203.0.113.113", …호출자의 IP주소
"UserIdentity":
§ “{"arn":"arn:aws:iam:: 111122223333:user/User123“} …호출자의 신원
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
어떻게 KMS를 믿고 사용할 수 있을까요?
ü 평문키는 절대 영구 저장장치에 보관되지 않습니다.
ü 키가 저장된 곳에 물리적으로 접근할 수 있는 도구가 없습니다.
ü 고객이 직접 키를 사용할 수 있는 권한을 제어합니다.
ü 마스터키를 사용하는 시스템과 데이터키를 사용하는 시스템은 여러가지
통제가 적용되어 완전히 분리되어 있습니다.
ü KMS API 사용 이력과 관련하여 CloudTrail을 통해 모든 증적을 확인할 수
있습니다.
ü 또한, 다음과 같은 외부 감사를 받고 있습니다 :
• Service Organization Control (SOC 1)
• PCI-DSS
• See AWS Compliance packages for details
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS KMS, 비대칭키 지원(서울리전미지원)
데이터 키페어 생성 데이터 암/복호화 디지털 서명/확인
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
대칭키 vs. 비대칭키 차이점
키와 키페어
대칭키 : 암호화와 복호화에 쓰이는 키가 동일
비대칭키 : 쌍으로 이루어진 퍼블릭키/프라이빗키 조합이 암/복호화 및 서명에
쓰임
CMK의 암호화작업이 발생하는 공간
대칭 CMK : 키의 암호화 작업이 서비스 내에서만 발생
비대칭 CMK : 암호화와 서명 작업이 서비스 밖에서 발생할 수 있음
서비스 통합
비대칭키 : 아직 타 AWS 서비스와의 통합지원 안됨
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
대칭키 vs. 비대칭키, when to use?
암복호화 시
- 대부분의 경우 대칭CMK로 데이터 키(페어)를 생성해서 사용
- AWS KMS API를 호출 할 수 없는 경우 비대칭CMK를 사용하여 암호화
(퍼블릭키 다운로드)
서명 시
- 비대칭키 (RSA 혹은 ECC) 를 사용
- AWS KMS verify API 콜이 불가한 상황이어도 퍼블릭키 다운로드해서 사용 가능
퍼블릭키 암호화 시
- 비대칭키 (RSA 알고리즘) 를 사용
** 복호화는 KMS내부에서 비대칭 CMK의 프라이빗 부분으로 이루어짐
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Summary
Audit
Access
controls
Encrypting services
Secondary
storage
Client
Corporate data
center
AWS Cloud
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SECURITY
FIRST
AWS WAF
ISV/DNB Webinar
조이정 솔루션즈 아키텍트
April. 2020
IAM
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Why WAF ?
웹 기반 공격
<Web App 공격 트랜드 (2019) >
출처 : https://www.cbronline.com/news/sql-injection-attacks
웹 방화벽(WAF)이란?
• Web Application Firewall (WAF): HTTP트래픽에 대하여 특정한 규칙을 적용하기 위한 어플라이언스, 웹서버
플러그인/필터 형태의 보안 제품.
• 사용 목적 : 중요 데이터 유출사고 및 서비스 중단 등을 발생시킬 수 있는 웹싸이트 또는 어플리케이션에 대한 공격 방어
• WAF 제품 유형
• 전통적인 WAF: 독립적인 어플라이언스 또는 소프트웨어 방식
• CDN 번들링 형태
• 로드밸런서 번들링 형태
• Universal Threat Manager (UTM) 타입: 네트웍 보안 위협 범용 대응
데이터베이스웹 서버WAF
정상 접근
악의적인 접근
기존 웹 방화벽(WAF)의 문제
§ 제대로 구축하기가 어렵고 시간이 많이 걸림
§ 오탐율이 많은 규칙들
§ 트래픽이 폭증할때 확장에 한계
§ 자동화를 위한 API 부족
§ 유지보수에 과다한 노력 필요
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS WAF (Web Application Firewall)
AWS WAF
웹 어플리케이션 레이어
악성 봇디도스 OWASP 타입 공격
HTTP
floods
과다 요청자
크롤러SQL 인젝션
XSS
어플리케이션 취약점 스캐너 & probes
컨텐츠 수집기
AWS WAF
• 웹 취약점으로부터 웹 애플리케이션 보호
CloudFront/ALB/API Gateway 워크로드 보호
WEB/WAS
www.example.com
CloudFront
사용자
Safe
Traffic
Edge Location
Edge Location
WAF
WAF
해커 악성 봇
적법 접근
SQLi, XSS, ..
WAF
ELB
ALB
사용자
적법 접근
VPC
WEB/WAS
AWS WAF 동작
CloudFront로 컨텐츠에
대한 HTTP/HTTPS요청
전달
WAF 요청을 검사하고
결과를 CF로 리턴
(allow/deny)
CF에서 WAF의 검사를
받아야 하는지를 판단
WAF는 CW로 메트릭
전송; API를 이용하여
규칙 업데이트
CloudFront에 의해 요청된 컨텐츠 전송CloudFront에 설정된 Error페이지 전송
CloudFront
CloudFront CloudFront
BLOCK
WAF
PASS
CloudWatch
AWS WAF 구성
Web ACLs :
o AWS resource 지정 (CloudFront / ALB / API GW)
o 규칙을 추가하여 보호 전략을 정의
o Amazon managed rule
o Custom rule
o Web ACL에 대한 기본 작업 지정 (차단/허용)
o 규칙 우선순위 설정
o CloudWatch metric 지정
Rule groups:
o JSON 포멧의 룰
o Visual editor
o JSON editor
o 재사용 가능한 custom 규칙 저장
o 리전 특정
o 규칙 우선순위 설정
AWS WAF Console
IP sets:
o 규칙 문에 사용되는 IP 주소 및 IP 주소 범위
Regex pattern sets:
o 규칙 문에 사용되는 정규 표현식 모음
** Web ACL 혹은 Rule group에서 사용됨
Request
Web Access Control List (Web ACL)
Managed
Rule Group
Single-digit
millisecond latency
Amazon
CloudFront
Application
Load Balancer
Amazon API
Gateway
Amazon
CloudWatch
Users
Rule 1
Rule 2
Rule Z
…
WAF 내부 동작
Order (Priority)
IP set
Action
Associated
AWS resources
Logging and Metrics
Rules
Default
Action
Allow
or
Deny
Actions:
• Accept
• Deny
• Count
Rule
Action
Rule
• Core ruleset
• Known bad
input
• SQL DB
• Linux
• ….
Custom
Rule Group
Rule 1
Rule 2
Rule Z
……
Rule
• GeoMatch
• Regex pattern
• String match
• SQLi
• Size match
• Xss
AWS 관리형 규칙 (AMR)
자체 규칙을 작성하지 않고 일반적인 애플리케이션 취약성 또는 기타 원치 않는 트래픽에 대한 보호를
제공하는 AWS 관리형 서비스
• AWS Threat Research Team (TRT)에서 관리하고 유지하는 규칙 세트
• Amazon 내부에서 습득한 보안 지식과 위협 탐지 반영
• OWASP Top 10 및 anti-bot IP reputation list 포함
추가 비용 없이 사용 가능
• 지정된 WAF Capacity Unit (WCU) 내에서 소비 가능
용어 : WCU (Web ACL Capacity Units)
규칙, 규칙 그룹 및 웹 ACL을 실행하는 데 사용되는 운영 리소스를 계산하고 제어라는 용량 단위
• 각 규칙 유형마다 다르게 용량을 계산하여 각 규칙의 상대적 리소스 비용을 반영
• 복잡한 규칙일수록 간단한 규칙에 비해 WCU를 많이 소비
• 규칙 그룹 생성 시 AWS WAF에서는 생성 시 각 규칙 그룹에 변경 불가능한 용량을 할당해야 합니다.
• 초기 제한 Web ACL당 1,500 WCU
• 더 많은 용량이 필요한 경우 AWS Support Center에 문의 필요.
Rule Type WCU Consumed
Geo-IP match (country) 1
IP set match (each set can contain 10,000 IPs) 1
Size constraint match 1
String comparison match (starts with) 2
String comparison match (contains) 10
SQLi detection 20
XSS detection 40
Regex set match (each set can contain 10 patterns) 25
Text transformation (applies once per unique header/body) 10
AWS 관리형 규칙 (AMR)
Category Ruleset Description WCU consumed
CRS Core Ruleset OWASP Top 10 및 CVE 700
CRS Admin Protection 외부에 노출된 어드민 페이지에 대한 엑세스 차단 100
CRS Known Bad Inputs 알려진 취약성 악용 요청 차단 200
EXR SQL DB SQL 데이터베이스 악용과 관련된 요청 패턴 차단 200
EXR Linux operating system
LFI(로컬 파일 포함) 공격을 포함, Linux 특정한 취약성 악용과
관련된 요청 패턴 차단
200
EXR POSIX operating system
LFI(로컬 파일 포함) 공격을 포함, POSIX 및 POSIX 유사 운영
체제에 특정한 취약성 악용과 관련된 요청 패턴 차단
100
EXR Windows operating system
PowerShell 명령의 원격 실행과 같이 Windows에 특정한 취약성
악용과 관련된 요청 차단
200
EXR PHP application 안전하지 않은 PHP 함수 삽입 차단 100
EXR WordPress application WordPress 관련된 취약성 악용과 관련된 요청 패턴 차단 100
IP List Amazon.com IP Reputation List Amazon 내부 위협 인텔리전스를 기반으로 봇과 같은 위협 차단 25
IP List Anonymous IP list
뷰어 ID의 난독화를 허용하는 서비스 요청을 차단 (VPN, 프록시,
Tor 노드 및 호스팅 공급자의 요청 등)
50
AWS 관리형 규칙 목록
AWS 관리형 규칙 (AMR)
Managed ruleset 포함 rule 확인
• 콘솔 확인
• 웹 ACL > 규칙(Rule) 탭 > 규칙 그룹 >
편집
• Override rules action 으로 개별 규칙을
개수 모드로 설정 가능
• AWS CLI :
• aws wafv2 describe-managed-rule-group -
-scope=REGIONAL -
-vendor-name=<vendor> -
-name=<managedrule_name>
Custom 규칙
Web ACL에 Custom 규칙을 적용하는 방법
1. Web ACL에서 Rule Builder를 생성 및 적용
2. Rule group 을 통해 재사용 가능한 규칙 적용
Custom 규칙
Custom 규칙을 작성하는 방법
Document-based로 변경되어 규칙 업데이트가 간소화되면서도
훨씬 더 정교한 규칙 작업이 가능하게 되었음
1. Visual Editor로 간편하게 작성
2. JSON Editor로 좀더 복잡한 규칙을 직접 작성
기본적으로 모든 규칙은 JSON 형태로 적용됨
일치 조건 (Match Condition)
일치 조건 (영어) 일치 조건(한글) 설명 WCUs
Geographic Match 지역 일치 요청의 출처 국가를 검사 1
IP set Match IP 집합 일치 요청 출처를 IP주소 및 주소 범위 집합과 비교 1
Regex Pattern Match 정규식 패턴 집합 정규식 패턴을 지정된 요청 구성 요소와 비교 패턴 세트 당 25
Size constraint 크기 제약 조건 지정된 요청 구성 요소에 대해 크기 제약 조건을 검사 1
SQLi Attack SQL 주입 공격 지정된 요청 구성 요소에서 악성 SQL 코드를 검사 20
String Match 문자열 일치 문자열을 지정된 요청 구성 요소와 비교 매치 유형에 따라
다름
XSS Scripting Attack XSS 공격 지정된 요청 구성 요소에서 사이트 간 스크립팅 공격을 검사 40
웹 요청을 사용자가 설정한 일치 조건과 비교하여 향후의 Action 을 결정
Condition : Geographic Match
출처 국가를 기준으로 웹 요청을 허용 또는 차단
• Location : ISO 3166 국제 표준의 alpha-2 국가 ISO 코드에서 나온 2자리 국가 코드)
§ 한국 – KR
§ 북한 – KP
§ 중국 – CN
§ 러시아 – RU
§ …..
Condition : IP set Match
IP 주소 및 주소 범위의 집합에 대한 웹 요청 출처의 IP 주소를 검사
• IP v4, IP v6 지원
• CIDR Block: /1 부터 /32 까지 자유롭게 기술 가능
각 IP 집합 일치 규칙은 규칙과 관계 없이 생성 및 유지 관리하는 “IP 집합”을 참조
Condition : Regex Pattern Match
정규식 패턴 집합 내에서 지정한 정규 표현식 패턴에 대해 지정한 웹 요청 부분을 검사
• PCRE (Perl Compatible Regular Expression)기준 지원
• 검사 부분 지정 (요청 구성 요소)
• 텍스트 변환 지원으로 공격자가 WAF를 우회하기 위해 사용하는 일부 비정상적인 서식 제거
각 정규식 패턴 집합 일치 규칙은 규칙과 관계 없이 생성 및 유지 관리하는 “정규식 패턴 집합”을 참조
Condition : Regex Pattern Match
예시
정규식 I[a@]mAB[a@]dRequest 는
IamABadRequest, IamAB@dRequest, I@mABadRequest 및 I@mAB@dRequest 등을 차단할 수 있음
Condition : Size Constraint
초과(>) 또는 미만(<)과 같은 비교 연산자를 사용하여 요청 구성 요소의 크기에 대해 바이트 수를 비교
• 검사 부분 지정 (요청 구성 요소)
• 텍스트 변환 지원으로 공격자가 WAF를 우회하기 위해 사용하는 일부 비정상적인 서식 제거
• 비교 연산자 : <, >, =, <=, >= 등
• Size 제한을 바이트 단위로 설정 (upto 8,192)
Condition : SQLi Attack
웹 요청 일부(예: URI / 쿼리 문자열)를 식별하여 악성 SQL 코드가 포함된 것으로 보이는 요청을 차단
• 검사 부분 지정 (요청 구성 요소)
• 텍스트 변환 지원으로 공격자가 WAF를 우회하기 위해 사용하는 일부 비정상적인 서식 제거
• SQLi를 위한 세부 탐지 규칙은 AWS WAF 자체적으로 관리됨
예시
SELECT * FROM airport WHERE code=‘icn’ or 1=‘1’
curl -X POST $JUICESHOP_URL -F "user='AND 1=1;"
Condition : String Match
웹 요청 일부(예: User-agent header)와 미리 지정된 문자열을 비교하여 허용 혹은 차단
• 검사 부분 지정 (요청 구성 요소)
• 텍스트 변환 지원으로 공격자가 WAF를 우회하기 위해 사용하는 일부 비정상적인 서식 제거
문자열 일치 조건
• Contains string(문자열 포함)
• Exactly matches string(정확히 문자열과 일치)
• Starts with string(문자열로 시작)
• Ends with string(문자열로 끝)
• Contains word(단어 포함)– 영숫자 또는 밑줄(A-Z, a-z, 0-9 또는 _)만 포함
Condition : XSS Scripting Attack
악성일 수 있는 스크립트가 있는지 검사할 웹 요청의 부분(예: URI 또는 쿼리 문자열)을 식별
• 검사 부분 지정 (요청 구성 요소)
• 텍스트 변환 지원으로 공격자가 WAF를 우회하기 위해 사용하는 일부 비정상적인 서식 제거
• XSS를 위한 세부 탐지 규칙은 AWS WAF 자체적으로 관리됨
예시
<개발자의 의도>
<XSS 공격>
<결과>
논리적 규칙문
논리적 문 설명 WCU 중첩 가능 여부
AND 로직 중첩된 문을 AND 로직과 결합 중첩 문 기반 예
NOT 로직 중첩된 문의 결과를 무효화 중첩 문 기반 예
OR 로직 중첩된 문을 OR 로직과 결합 중첩 문 기반 예
서로 다른 문을 결합하거나 결과를 무효화
AND 로직 예시 : “나는 특정 국가에서 나온 요청이나 특정 쿼리 문자열이 포함된 요청을 차단하고 싶다.”
NOT 로직 예시 : “나는 특정 국가가 출처가 아닌 요청을 차단하고 싶다.”
OR 로직 예시 : “나는 특정 IP 대역 혹은 특정 국가에서오는 요청을 모두 차단하고 싶다.”
요청 구성 요소 (Request Component)
AWS WAF에서 검사할 웹 요청의 일부를 지정
• 검사할 요청 부분에 대한 옵션
§ 헤더(header) : 특정 요청 헤더. Header field name 에 이름(예: User-Agent) 지정 필요
§ HTTP 메서드 : 웹 요청이 오리진에게 수행을 요구하는 HTTP 메서드 (예: GET, POST)
§ 쿼리 문자열 : (있는 경우) ? 문자 뒤에 나타나는 URL의 부분.
§ 단일 쿼리 파라미터 : 쿼리 문자열의 일부로 정의한 모든 파라미터. Query parameter name
지정 필요. (이름의 최대 길이는 30자, 대소문자 구분 없음)
§ 모든 쿼리 파라미터 : 쿼리 문자열 내의 모든 매개 변수 값을 검사
§ URI : 리소스를 식별하는 URL의 부분.
§ 본문(body) : 요청 헤더 바로 뒤에 오는 요청 부분
요청 구성 요소 (Request Component)
요청 구성 요소의 텍스트 변환 : 공격자가 WAF를 우회하기 위해 사용하는 일부 비정상적인 서식 제거
• 텍스트 변환을 위한 옵션
§ 소문자로 변환
§ HTML 디코딩 (ex. &quot; > &)
§ 공백 표준화
§ 명령줄 간소화
§ URL 디코딩
예시
/login?x=test%20Id=10%20AND=1
/login?x=test%27%20UNION%20ALL%20select%20NULL%20--
/login?x=test’ UNION ALL select NULL --
Transform: URL Decode
Match: SQL Injection
탐지 실패
탐지 성공
규칙 작업 (Rule Action)
웹 요청이 규칙에 정의된 조건과 일치할 때 웹 요청으로 수행할 작업을 정의
• 허용 (Allow) – AWS WAF가 처리 및 응답을 위해 요청이 AWS 리소스로 전달되도록 허용
• 차단 (Deny) – AWS WAF기 요청을 차단하고 AWS 리소스는 HTTP 403(금지됨) 상태 코드로 응답
• 개수 (Count) – AWS WAF은 요청의 개수는 세지만, 요청의 허용 또는 차단 여부를 결정하지 않음.
규칙 타입 (Rule Type)
발신 IP 주소에 대한 요청 비율을 추적하고, 5분 간의 요청 수에 대해 지정한 제한을 초과할 경우 차단
• 규칙 작업이 일단 트리거되면 요청 비율이 다시 제한 값 이하로 떨어질 때까지 해당 IP 주소를 차단
• 비율 기반 문 내에 다른 문을 중첩하여 일치하는 요청만 계수하도록 설정.
• 과도한 요청을 전송하는 IP 주소의 요청에 임시 차단을 적용하는 데 유용.
예시
: 공격자로 예상되는 192.0.2.44 의 웹 사이트의 특정 페이지에 대한 요청을 제한하려는 경우
주소 192.0.2.44를 지정하는 IP 집합이 있는 IP 일치 문
AND
요청구성요소 ’URI’ 에 대해 ‘login’ 으로 시작하는 String 일치 문
중첩문 작성 및 비율 제한 지정
규칙 그룹 (Rule Group)
생성 및 유지 관리하는 자체 규칙 그룹
• 직접 작성하고 관리, 재사용할 수 있는 규칙 모음
• 자주 쓰는 규칙을 모아서 관리하고 한꺼번에 Web ACL에 반영
• 규칙 그룹을 생성할 때는 변경이 불가능한 최대 용량을 설정
• 리전별 관리
Custom 규칙 작성 예시
"Rules": [
{
"Name": "foo",
"Priority": 1, // the priority this rule is triggered at
"Statements": {
<Condition> // this is where conditions (e.g. SQLi detection) are kept, will revisit later
},
"Action": {
"Block": {}
"Allow": {}
"Count": {}
},
"VisibilityConfig": { // the CloudWatch and SampledRequests metric generated for this rule
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "TestMetric"
}
}
// repeat the block above for subsequent rule
]
Custom 규칙 작성 예시 : SQLi attack condition
// Single SQLi detection condition
"Statements": {
"SqliMatchStatement": {
"FieldToMatch": {
"SingleHeader": { "Name": "foo" },
"SingleQueryArgument": { "Name": "foo" },
"AllQueryArguments": {},
"URI": {},
"QueryString": {},
"Body": {},
"Method": {}
},
"TextTransformations": [
{ "Priority": 1, "Type": "COMPRESS_WHITE_SPACE" },
{ "Priority": 2, "Type": "HTML_ENTITY_DECODE" }
]
}
}
Available values:
NONE COMPRESS_WHITE_SPACE
HTML_ENTITY_DECODE
LOWERCASE
CMD_LINE
URL_DECODE
Custom 규칙 작성 예시 : AND / OR 중첩문
"Statements": {
"AndStatement": { // Can be replaced with OrStatement
"Statements": [ // Note the start of list here with square bracket
{
<Condition #1>
}, {
<Condition #2>
}, {
<Condition #3>
}
// Add more conditions as desired
]
}
}
You can nest AND/OR statement.
Simply repeat the statement in
one of the condition block.
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
WAF classic vs. WAFv2
AWS WAF Classic WAF vs. WAF
새로운 API
• “wafv2” 라는 고유한 namespace
• “waf” 나 “waf-regional”가 없어지고, 단일 API로 사용
새로운 룰 작성 방법
• 각 룰 타입에 따른 개별 API없음
• JSON 포멧의 Document-based 룰 작성
• JSON 파일로 모든 룰을 구성하고 간편하게 UpdateWebACL API 를 콜해서 반영
새로운 룰셋 용량 : WAF Capacity Unit (WCU)
• 더이상 WebACL 당 10개 룰로 제한되지 않음
• 다양한 서비스 제한 소멸 (ex. 필터 개수 제한)
새로운 콘솔 경험
• 간편해지고 직관적으로 변화
새로운 탐지 능력
• OR 로직, 다중 변형
빌트인 관리형 룰셋 : AWS Managed Rules
• AWS가 관리하고 유지하는 룰셋
• Amazon 내부에서 습득한 보안 지식과 위협 탐지 반영
• OWASP Top 10 및 anti-bot IP reputation list 포함
AWS WAF Classic 가용성
기존의 WAF는 그대로 유지
• Terms such as web ACL, conditions, IP sets, regex set, etc.
기존의 WAF 기능도 모두 유지
• E.g., 속도기반 룰, 로그 등
기존의 WAF에서 WAF classic으로 명명
• WAF classic에는 새로운 기능이 추가되지 않을 예정
• 새로운 고객은 WAFv2를 사용할 것을 권고
Custom 규칙 작성 (waf-classic 과 비교)
§ GetChangeToken
§ UpdateByteMatchSet
§ GetChangeToken
§ UpdateRule
§ GetChangeToken
§ UpdateRuleGroup
§ …
§ (Repeat for each rule)
§ (After 200th times)
§ Done…
UpdateRuleGroup
Done!
"Rules": [
{
"Name": "foo",
"Priority": 1,
"Statements": {
<Condition>
},
"Action": {
"Block": {}
"Allow": {}
"Count": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "TestMetric"
}
}
]
Before After
Make all changes in
JSON in your favorite
editor!
Difficult to see all rules
at once.
Need to manually keep
track of what you
changed.
Call API once to update
all rules!
Version control JSON file
for quick roll back!
Forced to do redundant
API calls.
Simplifies the rule update process and maintenance!
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
https://go.aws/2xx2XT9
WAF demo
WAF for your own good !
Step by step workshop Link :
https://go.aws/2xx2XT9
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
yijeong@amazon.com
PLEASE don’t forget to take survey!!!

Mais conteúdo relacionado

Mais procurados

고객의 플랫폼/서비스를 개선한 국내 사례 살펴보기 – 장준성 AWS 솔루션즈 아키텍트, 강산아 NDREAM 팀장, 송영호 야놀자 매니저, ...
고객의 플랫폼/서비스를 개선한 국내 사례 살펴보기 – 장준성 AWS 솔루션즈 아키텍트, 강산아 NDREAM 팀장, 송영호 야놀자 매니저, ...고객의 플랫폼/서비스를 개선한 국내 사례 살펴보기 – 장준성 AWS 솔루션즈 아키텍트, 강산아 NDREAM 팀장, 송영호 야놀자 매니저, ...
고객의 플랫폼/서비스를 개선한 국내 사례 살펴보기 – 장준성 AWS 솔루션즈 아키텍트, 강산아 NDREAM 팀장, 송영호 야놀자 매니저, ...Amazon Web Services Korea
 
Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS...
Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS...Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS...
Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS...Amazon Web Services Korea
 
AWS Builders - Industry Edition: AWS가 추천하는 'App개발 및 데이터 관리, 분석 소프트웨어 서비스'_Tma...
AWS Builders - Industry Edition: AWS가 추천하는 'App개발 및 데이터 관리, 분석 소프트웨어 서비스'_Tma...AWS Builders - Industry Edition: AWS가 추천하는 'App개발 및 데이터 관리, 분석 소프트웨어 서비스'_Tma...
AWS Builders - Industry Edition: AWS가 추천하는 'App개발 및 데이터 관리, 분석 소프트웨어 서비스'_Tma...Amazon Web Services Korea
 
AWS CLOUD 2017 - 쉽게 알아보는 AWS 클라우드 보안 (신용녀 솔루션즈 아키텍트))
AWS CLOUD 2017 - 쉽게 알아보는 AWS 클라우드 보안 (신용녀 솔루션즈 아키텍트))AWS CLOUD 2017 - 쉽게 알아보는 AWS 클라우드 보안 (신용녀 솔루션즈 아키텍트))
AWS CLOUD 2017 - 쉽게 알아보는 AWS 클라우드 보안 (신용녀 솔루션즈 아키텍트))Amazon Web Services Korea
 
클라우드 핀테크 규제 준수를 위한 AWS 서비스 – 김지민 AWS 스타트업 솔루션즈 아키텍트, 박범준 AWS 스타트업 어카운트 매니저:: ...
클라우드 핀테크 규제 준수를 위한 AWS 서비스 – 김지민 AWS 스타트업 솔루션즈 아키텍트, 박범준 AWS 스타트업 어카운트 매니저:: ...클라우드 핀테크 규제 준수를 위한 AWS 서비스 – 김지민 AWS 스타트업 솔루션즈 아키텍트, 박범준 AWS 스타트업 어카운트 매니저:: ...
클라우드 핀테크 규제 준수를 위한 AWS 서비스 – 김지민 AWS 스타트업 솔루션즈 아키텍트, 박범준 AWS 스타트업 어카운트 매니저:: ...Amazon Web Services Korea
 
사례들로 알아보는 컨테이너, 언제 어떻게 쓰면 좋을까? – 김성수 AWS 솔루션즈 아키텍트, 허준 AWS 어카운트 매니저, 이창명 선데이토...
사례들로 알아보는 컨테이너, 언제 어떻게 쓰면 좋을까? – 김성수 AWS 솔루션즈 아키텍트, 허준 AWS 어카운트 매니저, 이창명 선데이토...사례들로 알아보는 컨테이너, 언제 어떻게 쓰면 좋을까? – 김성수 AWS 솔루션즈 아키텍트, 허준 AWS 어카운트 매니저, 이창명 선데이토...
사례들로 알아보는 컨테이너, 언제 어떻게 쓰면 좋을까? – 김성수 AWS 솔루션즈 아키텍트, 허준 AWS 어카운트 매니저, 이창명 선데이토...Amazon Web Services Korea
 
재택근무 생산성 향상을 위한 AWS 엔드유저 컴퓨팅 서비스 - 윤석찬, AWS 테크에반젤리스트
재택근무 생산성 향상을 위한 AWS 엔드유저 컴퓨팅 서비스 - 윤석찬, AWS 테크에반젤리스트재택근무 생산성 향상을 위한 AWS 엔드유저 컴퓨팅 서비스 - 윤석찬, AWS 테크에반젤리스트
재택근무 생산성 향상을 위한 AWS 엔드유저 컴퓨팅 서비스 - 윤석찬, AWS 테크에반젤리스트Amazon Web Services Korea
 
유연하고 빠른 딥러닝 프레임워크 Apache MXNet::김무현::AWS Summit Seoul 2018
유연하고 빠른 딥러닝 프레임워크 Apache MXNet::김무현::AWS Summit Seoul 2018유연하고 빠른 딥러닝 프레임워크 Apache MXNet::김무현::AWS Summit Seoul 2018
유연하고 빠른 딥러닝 프레임워크 Apache MXNet::김무현::AWS Summit Seoul 2018Amazon Web Services Korea
 
아마존웹서비스와 함께하는 클라우드 비용 최적화 전략 - 윤석찬 (AWS 코리아 테크에반젤리스트)
아마존웹서비스와 함께하는 클라우드 비용 최적화 전략 - 윤석찬 (AWS 코리아 테크에반젤리스트)아마존웹서비스와 함께하는 클라우드 비용 최적화 전략 - 윤석찬 (AWS 코리아 테크에반젤리스트)
아마존웹서비스와 함께하는 클라우드 비용 최적화 전략 - 윤석찬 (AWS 코리아 테크에반젤리스트)Amazon Web Services Korea
 
천만사용자를 위한 AWS 클라우드 아키텍처 진화하기 – 문종민, AWS솔루션즈 아키텍트:: AWS Summit Online Korea 2020
천만사용자를 위한 AWS 클라우드 아키텍처 진화하기 – 문종민, AWS솔루션즈 아키텍트::  AWS Summit Online Korea 2020천만사용자를 위한 AWS 클라우드 아키텍처 진화하기 – 문종민, AWS솔루션즈 아키텍트::  AWS Summit Online Korea 2020
천만사용자를 위한 AWS 클라우드 아키텍처 진화하기 – 문종민, AWS솔루션즈 아키텍트:: AWS Summit Online Korea 2020Amazon Web Services Korea
 
AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016
AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016
AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016Amazon Web Services Korea
 
AWS Builders Online Series | AWS와 함께하는 클라우드 컴퓨팅 - 강철, AWS 어카운트 매니저
AWS Builders Online Series | AWS와 함께하는 클라우드 컴퓨팅 - 강철, AWS 어카운트 매니저AWS Builders Online Series | AWS와 함께하는 클라우드 컴퓨팅 - 강철, AWS 어카운트 매니저
AWS Builders Online Series | AWS와 함께하는 클라우드 컴퓨팅 - 강철, AWS 어카운트 매니저Amazon Web Services Korea
 
AWS운영을 위한 글로벌 관리 전략 - 베스핀 글로벌 김성수 상무:: AWS Cloud Track 2 Advanced
AWS운영을 위한 글로벌 관리 전략 - 베스핀 글로벌 김성수 상무:: AWS Cloud Track 2 AdvancedAWS운영을 위한 글로벌 관리 전략 - 베스핀 글로벌 김성수 상무:: AWS Cloud Track 2 Advanced
AWS운영을 위한 글로벌 관리 전략 - 베스핀 글로벌 김성수 상무:: AWS Cloud Track 2 AdvancedAmazon Web Services Korea
 
모두를 위한 하이브리드 클라우드 아키텍처 - 강동환, AWS 솔루션즈 아키텍트:: AWS Summit Online Korea 2020
모두를 위한 하이브리드 클라우드 아키텍처 - 강동환, AWS 솔루션즈 아키텍트::  AWS Summit Online Korea 2020모두를 위한 하이브리드 클라우드 아키텍처 - 강동환, AWS 솔루션즈 아키텍트::  AWS Summit Online Korea 2020
모두를 위한 하이브리드 클라우드 아키텍처 - 강동환, AWS 솔루션즈 아키텍트:: AWS Summit Online Korea 2020Amazon Web Services Korea
 
[AWS Builders] AWS와 함께하는 클라우드 컴퓨팅
[AWS Builders] AWS와 함께하는 클라우드 컴퓨팅[AWS Builders] AWS와 함께하는 클라우드 컴퓨팅
[AWS Builders] AWS와 함께하는 클라우드 컴퓨팅Amazon Web Services Korea
 
[2017 Gaming on AWS] Gaming Data Lake on AWS
[2017 Gaming on AWS] Gaming Data Lake on AWS[2017 Gaming on AWS] Gaming Data Lake on AWS
[2017 Gaming on AWS] Gaming Data Lake on AWSAmazon Web Services Korea
 
강의 4 - AWS 아키텍처 설계 (조재구 테크니컬 트레이너, AWS) :: AWSome Day 온라인 컨퍼런스 2018
강의 4 - AWS 아키텍처 설계 (조재구 테크니컬 트레이너, AWS) :: AWSome Day 온라인 컨퍼런스 2018강의 4 - AWS 아키텍처 설계 (조재구 테크니컬 트레이너, AWS) :: AWSome Day 온라인 컨퍼런스 2018
강의 4 - AWS 아키텍처 설계 (조재구 테크니컬 트레이너, AWS) :: AWSome Day 온라인 컨퍼런스 2018Amazon Web Services Korea
 
[AWSome Day온라인 컨퍼런스] 강의 3: 클라우드 구축하기 - 정도현, AWS 테크니컬 트레이너
[AWSome Day온라인 컨퍼런스] 강의 3: 클라우드 구축하기 - 정도현, AWS 테크니컬 트레이너[AWSome Day온라인 컨퍼런스] 강의 3: 클라우드 구축하기 - 정도현, AWS 테크니컬 트레이너
[AWSome Day온라인 컨퍼런스] 강의 3: 클라우드 구축하기 - 정도현, AWS 테크니컬 트레이너Amazon Web Services Korea
 
AWS Partner Techshift - Well Architected Framework (이경수 솔루션즈 아키텍트)
AWS Partner Techshift - Well Architected Framework (이경수 솔루션즈 아키텍트)AWS Partner Techshift - Well Architected Framework (이경수 솔루션즈 아키텍트)
AWS Partner Techshift - Well Architected Framework (이경수 솔루션즈 아키텍트)Amazon Web Services Korea
 
AWS 기반 블록체인 (1부) - 블록체인 환경 구성하기 (박혜영 & 유다니엘, AWS 솔루션즈 아키텍트) :: AWS DevDay2018
AWS 기반 블록체인 (1부) - 블록체인 환경 구성하기 (박혜영 & 유다니엘, AWS 솔루션즈 아키텍트) :: AWS DevDay2018AWS 기반 블록체인 (1부) - 블록체인 환경 구성하기 (박혜영 & 유다니엘, AWS 솔루션즈 아키텍트) :: AWS DevDay2018
AWS 기반 블록체인 (1부) - 블록체인 환경 구성하기 (박혜영 & 유다니엘, AWS 솔루션즈 아키텍트) :: AWS DevDay2018Amazon Web Services Korea
 

Mais procurados (20)

고객의 플랫폼/서비스를 개선한 국내 사례 살펴보기 – 장준성 AWS 솔루션즈 아키텍트, 강산아 NDREAM 팀장, 송영호 야놀자 매니저, ...
고객의 플랫폼/서비스를 개선한 국내 사례 살펴보기 – 장준성 AWS 솔루션즈 아키텍트, 강산아 NDREAM 팀장, 송영호 야놀자 매니저, ...고객의 플랫폼/서비스를 개선한 국내 사례 살펴보기 – 장준성 AWS 솔루션즈 아키텍트, 강산아 NDREAM 팀장, 송영호 야놀자 매니저, ...
고객의 플랫폼/서비스를 개선한 국내 사례 살펴보기 – 장준성 AWS 솔루션즈 아키텍트, 강산아 NDREAM 팀장, 송영호 야놀자 매니저, ...
 
Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS...
Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS...Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS...
Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS...
 
AWS Builders - Industry Edition: AWS가 추천하는 'App개발 및 데이터 관리, 분석 소프트웨어 서비스'_Tma...
AWS Builders - Industry Edition: AWS가 추천하는 'App개발 및 데이터 관리, 분석 소프트웨어 서비스'_Tma...AWS Builders - Industry Edition: AWS가 추천하는 'App개발 및 데이터 관리, 분석 소프트웨어 서비스'_Tma...
AWS Builders - Industry Edition: AWS가 추천하는 'App개발 및 데이터 관리, 분석 소프트웨어 서비스'_Tma...
 
AWS CLOUD 2017 - 쉽게 알아보는 AWS 클라우드 보안 (신용녀 솔루션즈 아키텍트))
AWS CLOUD 2017 - 쉽게 알아보는 AWS 클라우드 보안 (신용녀 솔루션즈 아키텍트))AWS CLOUD 2017 - 쉽게 알아보는 AWS 클라우드 보안 (신용녀 솔루션즈 아키텍트))
AWS CLOUD 2017 - 쉽게 알아보는 AWS 클라우드 보안 (신용녀 솔루션즈 아키텍트))
 
클라우드 핀테크 규제 준수를 위한 AWS 서비스 – 김지민 AWS 스타트업 솔루션즈 아키텍트, 박범준 AWS 스타트업 어카운트 매니저:: ...
클라우드 핀테크 규제 준수를 위한 AWS 서비스 – 김지민 AWS 스타트업 솔루션즈 아키텍트, 박범준 AWS 스타트업 어카운트 매니저:: ...클라우드 핀테크 규제 준수를 위한 AWS 서비스 – 김지민 AWS 스타트업 솔루션즈 아키텍트, 박범준 AWS 스타트업 어카운트 매니저:: ...
클라우드 핀테크 규제 준수를 위한 AWS 서비스 – 김지민 AWS 스타트업 솔루션즈 아키텍트, 박범준 AWS 스타트업 어카운트 매니저:: ...
 
사례들로 알아보는 컨테이너, 언제 어떻게 쓰면 좋을까? – 김성수 AWS 솔루션즈 아키텍트, 허준 AWS 어카운트 매니저, 이창명 선데이토...
사례들로 알아보는 컨테이너, 언제 어떻게 쓰면 좋을까? – 김성수 AWS 솔루션즈 아키텍트, 허준 AWS 어카운트 매니저, 이창명 선데이토...사례들로 알아보는 컨테이너, 언제 어떻게 쓰면 좋을까? – 김성수 AWS 솔루션즈 아키텍트, 허준 AWS 어카운트 매니저, 이창명 선데이토...
사례들로 알아보는 컨테이너, 언제 어떻게 쓰면 좋을까? – 김성수 AWS 솔루션즈 아키텍트, 허준 AWS 어카운트 매니저, 이창명 선데이토...
 
재택근무 생산성 향상을 위한 AWS 엔드유저 컴퓨팅 서비스 - 윤석찬, AWS 테크에반젤리스트
재택근무 생산성 향상을 위한 AWS 엔드유저 컴퓨팅 서비스 - 윤석찬, AWS 테크에반젤리스트재택근무 생산성 향상을 위한 AWS 엔드유저 컴퓨팅 서비스 - 윤석찬, AWS 테크에반젤리스트
재택근무 생산성 향상을 위한 AWS 엔드유저 컴퓨팅 서비스 - 윤석찬, AWS 테크에반젤리스트
 
유연하고 빠른 딥러닝 프레임워크 Apache MXNet::김무현::AWS Summit Seoul 2018
유연하고 빠른 딥러닝 프레임워크 Apache MXNet::김무현::AWS Summit Seoul 2018유연하고 빠른 딥러닝 프레임워크 Apache MXNet::김무현::AWS Summit Seoul 2018
유연하고 빠른 딥러닝 프레임워크 Apache MXNet::김무현::AWS Summit Seoul 2018
 
아마존웹서비스와 함께하는 클라우드 비용 최적화 전략 - 윤석찬 (AWS 코리아 테크에반젤리스트)
아마존웹서비스와 함께하는 클라우드 비용 최적화 전략 - 윤석찬 (AWS 코리아 테크에반젤리스트)아마존웹서비스와 함께하는 클라우드 비용 최적화 전략 - 윤석찬 (AWS 코리아 테크에반젤리스트)
아마존웹서비스와 함께하는 클라우드 비용 최적화 전략 - 윤석찬 (AWS 코리아 테크에반젤리스트)
 
천만사용자를 위한 AWS 클라우드 아키텍처 진화하기 – 문종민, AWS솔루션즈 아키텍트:: AWS Summit Online Korea 2020
천만사용자를 위한 AWS 클라우드 아키텍처 진화하기 – 문종민, AWS솔루션즈 아키텍트::  AWS Summit Online Korea 2020천만사용자를 위한 AWS 클라우드 아키텍처 진화하기 – 문종민, AWS솔루션즈 아키텍트::  AWS Summit Online Korea 2020
천만사용자를 위한 AWS 클라우드 아키텍처 진화하기 – 문종민, AWS솔루션즈 아키텍트:: AWS Summit Online Korea 2020
 
AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016
AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016
AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016
 
AWS Builders Online Series | AWS와 함께하는 클라우드 컴퓨팅 - 강철, AWS 어카운트 매니저
AWS Builders Online Series | AWS와 함께하는 클라우드 컴퓨팅 - 강철, AWS 어카운트 매니저AWS Builders Online Series | AWS와 함께하는 클라우드 컴퓨팅 - 강철, AWS 어카운트 매니저
AWS Builders Online Series | AWS와 함께하는 클라우드 컴퓨팅 - 강철, AWS 어카운트 매니저
 
AWS운영을 위한 글로벌 관리 전략 - 베스핀 글로벌 김성수 상무:: AWS Cloud Track 2 Advanced
AWS운영을 위한 글로벌 관리 전략 - 베스핀 글로벌 김성수 상무:: AWS Cloud Track 2 AdvancedAWS운영을 위한 글로벌 관리 전략 - 베스핀 글로벌 김성수 상무:: AWS Cloud Track 2 Advanced
AWS운영을 위한 글로벌 관리 전략 - 베스핀 글로벌 김성수 상무:: AWS Cloud Track 2 Advanced
 
모두를 위한 하이브리드 클라우드 아키텍처 - 강동환, AWS 솔루션즈 아키텍트:: AWS Summit Online Korea 2020
모두를 위한 하이브리드 클라우드 아키텍처 - 강동환, AWS 솔루션즈 아키텍트::  AWS Summit Online Korea 2020모두를 위한 하이브리드 클라우드 아키텍처 - 강동환, AWS 솔루션즈 아키텍트::  AWS Summit Online Korea 2020
모두를 위한 하이브리드 클라우드 아키텍처 - 강동환, AWS 솔루션즈 아키텍트:: AWS Summit Online Korea 2020
 
[AWS Builders] AWS와 함께하는 클라우드 컴퓨팅
[AWS Builders] AWS와 함께하는 클라우드 컴퓨팅[AWS Builders] AWS와 함께하는 클라우드 컴퓨팅
[AWS Builders] AWS와 함께하는 클라우드 컴퓨팅
 
[2017 Gaming on AWS] Gaming Data Lake on AWS
[2017 Gaming on AWS] Gaming Data Lake on AWS[2017 Gaming on AWS] Gaming Data Lake on AWS
[2017 Gaming on AWS] Gaming Data Lake on AWS
 
강의 4 - AWS 아키텍처 설계 (조재구 테크니컬 트레이너, AWS) :: AWSome Day 온라인 컨퍼런스 2018
강의 4 - AWS 아키텍처 설계 (조재구 테크니컬 트레이너, AWS) :: AWSome Day 온라인 컨퍼런스 2018강의 4 - AWS 아키텍처 설계 (조재구 테크니컬 트레이너, AWS) :: AWSome Day 온라인 컨퍼런스 2018
강의 4 - AWS 아키텍처 설계 (조재구 테크니컬 트레이너, AWS) :: AWSome Day 온라인 컨퍼런스 2018
 
[AWSome Day온라인 컨퍼런스] 강의 3: 클라우드 구축하기 - 정도현, AWS 테크니컬 트레이너
[AWSome Day온라인 컨퍼런스] 강의 3: 클라우드 구축하기 - 정도현, AWS 테크니컬 트레이너[AWSome Day온라인 컨퍼런스] 강의 3: 클라우드 구축하기 - 정도현, AWS 테크니컬 트레이너
[AWSome Day온라인 컨퍼런스] 강의 3: 클라우드 구축하기 - 정도현, AWS 테크니컬 트레이너
 
AWS Partner Techshift - Well Architected Framework (이경수 솔루션즈 아키텍트)
AWS Partner Techshift - Well Architected Framework (이경수 솔루션즈 아키텍트)AWS Partner Techshift - Well Architected Framework (이경수 솔루션즈 아키텍트)
AWS Partner Techshift - Well Architected Framework (이경수 솔루션즈 아키텍트)
 
AWS 기반 블록체인 (1부) - 블록체인 환경 구성하기 (박혜영 & 유다니엘, AWS 솔루션즈 아키텍트) :: AWS DevDay2018
AWS 기반 블록체인 (1부) - 블록체인 환경 구성하기 (박혜영 & 유다니엘, AWS 솔루션즈 아키텍트) :: AWS DevDay2018AWS 기반 블록체인 (1부) - 블록체인 환경 구성하기 (박혜영 & 유다니엘, AWS 솔루션즈 아키텍트) :: AWS DevDay2018
AWS 기반 블록체인 (1부) - 블록체인 환경 구성하기 (박혜영 & 유다니엘, AWS 솔루션즈 아키텍트) :: AWS DevDay2018
 

Semelhante a 202003 AWS ISV/DNB KMS_WAF_webinar

AWS KMS를 활용하여 안전한 AWS 환경을 구축하기 위한 전략::임기성::AWS Summit Seoul 2018
AWS KMS를 활용하여 안전한 AWS 환경을 구축하기 위한 전략::임기성::AWS Summit Seoul 2018 AWS KMS를 활용하여 안전한 AWS 환경을 구축하기 위한 전략::임기성::AWS Summit Seoul 2018
AWS KMS를 활용하여 안전한 AWS 환경을 구축하기 위한 전략::임기성::AWS Summit Seoul 2018 Amazon Web Services Korea
 
[AWS & 베스핀글로벌, 바이오∙헬스케어∙제약사를 위한 세미나] AWS 클라우드 보안
[AWS & 베스핀글로벌, 바이오∙헬스케어∙제약사를 위한 세미나] AWS 클라우드 보안[AWS & 베스핀글로벌, 바이오∙헬스케어∙제약사를 위한 세미나] AWS 클라우드 보안
[AWS & 베스핀글로벌, 바이오∙헬스케어∙제약사를 위한 세미나] AWS 클라우드 보안BESPIN GLOBAL
 
스타트업 관점에서 본 AWS 선택과 집중 (한승호, 에멘탈) :: AWS DevDay 2018
스타트업 관점에서 본 AWS 선택과 집중 (한승호, 에멘탈) :: AWS DevDay 2018스타트업 관점에서 본 AWS 선택과 집중 (한승호, 에멘탈) :: AWS DevDay 2018
스타트업 관점에서 본 AWS 선택과 집중 (한승호, 에멘탈) :: AWS DevDay 2018Amazon Web Services Korea
 
AWS에서 빅데이터 프로젝트 시작하기 - 이종화 솔루션즈 아키텍트, AWS
AWS에서 빅데이터 프로젝트 시작하기 - 이종화 솔루션즈 아키텍트, AWSAWS에서 빅데이터 프로젝트 시작하기 - 이종화 솔루션즈 아키텍트, AWS
AWS에서 빅데이터 프로젝트 시작하기 - 이종화 솔루션즈 아키텍트, AWSAmazon Web Services Korea
 
클라우드 보안 위협에 가장 현명한 대처 ‘안랩 클라우드 보안 서비::김준호::AWS Summit Seoul 2018
클라우드 보안 위협에 가장 현명한 대처 ‘안랩 클라우드 보안 서비::김준호::AWS Summit Seoul 2018 클라우드 보안 위협에 가장 현명한 대처 ‘안랩 클라우드 보안 서비::김준호::AWS Summit Seoul 2018
클라우드 보안 위협에 가장 현명한 대처 ‘안랩 클라우드 보안 서비::김준호::AWS Summit Seoul 2018 Amazon Web Services Korea
 
클라우드 보안 위협에 가장 현명한 대처 ‘안랩 클라우드 보안 서비::김준호::AWS Summit Seoul 2018
클라우드 보안 위협에 가장 현명한 대처 ‘안랩 클라우드 보안 서비::김준호::AWS Summit Seoul 2018클라우드 보안 위협에 가장 현명한 대처 ‘안랩 클라우드 보안 서비::김준호::AWS Summit Seoul 2018
클라우드 보안 위협에 가장 현명한 대처 ‘안랩 클라우드 보안 서비::김준호::AWS Summit Seoul 2018Amazon Web Services Korea
 
[Games on AWS 2019] AWS 사용자를 위한 만랩 달성 트랙 | AWS 최적화 사용을 위해 운영자가 아닌 개발자들이 해야 할 ...
[Games on AWS 2019] AWS 사용자를 위한 만랩 달성 트랙 | AWS 최적화 사용을 위해 운영자가 아닌 개발자들이 해야 할 ...[Games on AWS 2019] AWS 사용자를 위한 만랩 달성 트랙 | AWS 최적화 사용을 위해 운영자가 아닌 개발자들이 해야 할 ...
[Games on AWS 2019] AWS 사용자를 위한 만랩 달성 트랙 | AWS 최적화 사용을 위해 운영자가 아닌 개발자들이 해야 할 ...Amazon Web Services Korea
 
서버리스 아키텍처 패턴 및 로그 처리를 위한 파이프라인 구축기 - 황윤상 솔루션즈 아키텍트, AWS / Matthew Han, SendBi...
서버리스 아키텍처 패턴 및 로그 처리를 위한 파이프라인 구축기 - 황윤상 솔루션즈 아키텍트, AWS / Matthew Han, SendBi...서버리스 아키텍처 패턴 및 로그 처리를 위한 파이프라인 구축기 - 황윤상 솔루션즈 아키텍트, AWS / Matthew Han, SendBi...
서버리스 아키텍처 패턴 및 로그 처리를 위한 파이프라인 구축기 - 황윤상 솔루션즈 아키텍트, AWS / Matthew Han, SendBi...Amazon Web Services Korea
 
디지털 해적들로부터 영상 콘텐츠 보호하기 – 황윤상 AWS 솔루션즈 아키텍트, 김준호 잉카엔트웍스 매니저:: AWS Cloud Week ...
디지털 해적들로부터 영상 콘텐츠 보호하기 –  황윤상 AWS 솔루션즈 아키텍트, 김준호 잉카엔트웍스 매니저:: AWS Cloud Week ...디지털 해적들로부터 영상 콘텐츠 보호하기 –  황윤상 AWS 솔루션즈 아키텍트, 김준호 잉카엔트웍스 매니저:: AWS Cloud Week ...
디지털 해적들로부터 영상 콘텐츠 보호하기 – 황윤상 AWS 솔루션즈 아키텍트, 김준호 잉카엔트웍스 매니저:: AWS Cloud Week ...Amazon Web Services Korea
 
천만 사용자를 위한 AWS 클라우드 아키텍처 진화하기::이창수::AWS Summit Seoul 2018
천만 사용자를 위한 AWS 클라우드 아키텍처 진화하기::이창수::AWS Summit Seoul 2018천만 사용자를 위한 AWS 클라우드 아키텍처 진화하기::이창수::AWS Summit Seoul 2018
천만 사용자를 위한 AWS 클라우드 아키텍처 진화하기::이창수::AWS Summit Seoul 2018Amazon Web Services Korea
 
KB국민은행은 시작했다 -  쉽고 빠른 클라우드 거버넌스 적용 전략 - 강병억 AWS 솔루션즈 아키텍트 / 장강홍 클라우드플랫폼단 차장, ...
KB국민은행은 시작했다 -  쉽고 빠른 클라우드 거버넌스 적용 전략 - 강병억 AWS 솔루션즈 아키텍트 / 장강홍 클라우드플랫폼단 차장, ...KB국민은행은 시작했다 -  쉽고 빠른 클라우드 거버넌스 적용 전략 - 강병억 AWS 솔루션즈 아키텍트 / 장강홍 클라우드플랫폼단 차장, ...
KB국민은행은 시작했다 -  쉽고 빠른 클라우드 거버넌스 적용 전략 - 강병억 AWS 솔루션즈 아키텍트 / 장강홍 클라우드플랫폼단 차장, ...Amazon Web Services Korea
 
AWS re:Invent 2018를 통해 본 개발자들이 원하는 4가지 클라우드 동향 :: 윤석찬 - AWS Community Day 2019
AWS re:Invent 2018를 통해 본 개발자들이 원하는 4가지 클라우드 동향 :: 윤석찬 - AWS Community Day 2019 AWS re:Invent 2018를 통해 본 개발자들이 원하는 4가지 클라우드 동향 :: 윤석찬 - AWS Community Day 2019
AWS re:Invent 2018를 통해 본 개발자들이 원하는 4가지 클라우드 동향 :: 윤석찬 - AWS Community Day 2019 AWSKRUG - AWS한국사용자모임
 
AWS 클라우드 핵심 서비스로 클라우드 기반 아키텍처 빠르게 구성하기 - 문종민 솔루션즈 아키텍트, AWS :: AWS Summit Seo...
AWS 클라우드 핵심 서비스로 클라우드 기반 아키텍처 빠르게 구성하기 - 문종민 솔루션즈 아키텍트, AWS :: AWS Summit Seo...AWS 클라우드 핵심 서비스로 클라우드 기반 아키텍처 빠르게 구성하기 - 문종민 솔루션즈 아키텍트, AWS :: AWS Summit Seo...
AWS 클라우드 핵심 서비스로 클라우드 기반 아키텍처 빠르게 구성하기 - 문종민 솔루션즈 아키텍트, AWS :: AWS Summit Seo...Amazon Web Services Korea
 
AWS와 함께하는 클라우드 컴퓨팅 (강철 AWS 매니저) :: AWS 기초 교육 온라인 세미나
AWS와 함께하는 클라우드 컴퓨팅 (강철 AWS 매니저) :: AWS 기초 교육 온라인 세미나AWS와 함께하는 클라우드 컴퓨팅 (강철 AWS 매니저) :: AWS 기초 교육 온라인 세미나
AWS와 함께하는 클라우드 컴퓨팅 (강철 AWS 매니저) :: AWS 기초 교육 온라인 세미나Amazon Web Services Korea
 
AWS와 함께하는 클라우드 컴퓨팅 - 강철, AWS 어카운트 매니저 :: AWS Builders 100
AWS와 함께하는 클라우드 컴퓨팅 - 강철, AWS 어카운트 매니저 :: AWS Builders 100AWS와 함께하는 클라우드 컴퓨팅 - 강철, AWS 어카운트 매니저 :: AWS Builders 100
AWS와 함께하는 클라우드 컴퓨팅 - 강철, AWS 어카운트 매니저 :: AWS Builders 100Amazon Web Services Korea
 
[AWS Techshift] 클라우드 소프트웨어의 유통 채널 Marketplace 활용하기 - 이경수, AWS 파트너 솔루션즈 아키텍트
[AWS Techshift] 클라우드 소프트웨어의 유통 채널 Marketplace 활용하기 - 이경수, AWS 파트너 솔루션즈 아키텍트[AWS Techshift] 클라우드 소프트웨어의 유통 채널 Marketplace 활용하기 - 이경수, AWS 파트너 솔루션즈 아키텍트
[AWS Techshift] 클라우드 소프트웨어의 유통 채널 Marketplace 활용하기 - 이경수, AWS 파트너 솔루션즈 아키텍트Amazon Web Services Korea
 
AWS상에서 블록체인 서비스 구축 및 활용가이드 대방출! - 박천구 솔루션즈 아키텍트, AWS / 오재훈 이사, 두나무 :: AWS Sum...
AWS상에서 블록체인 서비스 구축 및 활용가이드 대방출! - 박천구 솔루션즈 아키텍트, AWS / 오재훈 이사, 두나무 :: AWS Sum...AWS상에서 블록체인 서비스 구축 및 활용가이드 대방출! - 박천구 솔루션즈 아키텍트, AWS / 오재훈 이사, 두나무 :: AWS Sum...
AWS상에서 블록체인 서비스 구축 및 활용가이드 대방출! - 박천구 솔루션즈 아키텍트, AWS / 오재훈 이사, 두나무 :: AWS Sum...Amazon Web Services Korea
 
AWS의 다양한 Compute 서비스(EC2, Lambda, ECS, Batch, Elastic Beanstalk)의 특징 이해하기 - 김...
AWS의 다양한 Compute 서비스(EC2, Lambda, ECS, Batch, Elastic Beanstalk)의 특징 이해하기 - 김...AWS의 다양한 Compute 서비스(EC2, Lambda, ECS, Batch, Elastic Beanstalk)의 특징 이해하기 - 김...
AWS의 다양한 Compute 서비스(EC2, Lambda, ECS, Batch, Elastic Beanstalk)의 특징 이해하기 - 김...Amazon Web Services Korea
 
AWS Finance Symposium_국내 메이저 증권사의 클라우드 글로벌 로드밸런서 활용 사례 (gslb)
AWS Finance Symposium_국내 메이저 증권사의 클라우드 글로벌 로드밸런서 활용 사례 (gslb)AWS Finance Symposium_국내 메이저 증권사의 클라우드 글로벌 로드밸런서 활용 사례 (gslb)
AWS Finance Symposium_국내 메이저 증권사의 클라우드 글로벌 로드밸런서 활용 사례 (gslb)Amazon Web Services Korea
 
AWS와 함께 하는 클라우드 컴퓨팅 - 홍민우 AWS 매니저
AWS와 함께 하는 클라우드 컴퓨팅 - 홍민우 AWS 매니저AWS와 함께 하는 클라우드 컴퓨팅 - 홍민우 AWS 매니저
AWS와 함께 하는 클라우드 컴퓨팅 - 홍민우 AWS 매니저Amazon Web Services Korea
 

Semelhante a 202003 AWS ISV/DNB KMS_WAF_webinar (20)

AWS KMS를 활용하여 안전한 AWS 환경을 구축하기 위한 전략::임기성::AWS Summit Seoul 2018
AWS KMS를 활용하여 안전한 AWS 환경을 구축하기 위한 전략::임기성::AWS Summit Seoul 2018 AWS KMS를 활용하여 안전한 AWS 환경을 구축하기 위한 전략::임기성::AWS Summit Seoul 2018
AWS KMS를 활용하여 안전한 AWS 환경을 구축하기 위한 전략::임기성::AWS Summit Seoul 2018
 
[AWS & 베스핀글로벌, 바이오∙헬스케어∙제약사를 위한 세미나] AWS 클라우드 보안
[AWS & 베스핀글로벌, 바이오∙헬스케어∙제약사를 위한 세미나] AWS 클라우드 보안[AWS & 베스핀글로벌, 바이오∙헬스케어∙제약사를 위한 세미나] AWS 클라우드 보안
[AWS & 베스핀글로벌, 바이오∙헬스케어∙제약사를 위한 세미나] AWS 클라우드 보안
 
스타트업 관점에서 본 AWS 선택과 집중 (한승호, 에멘탈) :: AWS DevDay 2018
스타트업 관점에서 본 AWS 선택과 집중 (한승호, 에멘탈) :: AWS DevDay 2018스타트업 관점에서 본 AWS 선택과 집중 (한승호, 에멘탈) :: AWS DevDay 2018
스타트업 관점에서 본 AWS 선택과 집중 (한승호, 에멘탈) :: AWS DevDay 2018
 
AWS에서 빅데이터 프로젝트 시작하기 - 이종화 솔루션즈 아키텍트, AWS
AWS에서 빅데이터 프로젝트 시작하기 - 이종화 솔루션즈 아키텍트, AWSAWS에서 빅데이터 프로젝트 시작하기 - 이종화 솔루션즈 아키텍트, AWS
AWS에서 빅데이터 프로젝트 시작하기 - 이종화 솔루션즈 아키텍트, AWS
 
클라우드 보안 위협에 가장 현명한 대처 ‘안랩 클라우드 보안 서비::김준호::AWS Summit Seoul 2018
클라우드 보안 위협에 가장 현명한 대처 ‘안랩 클라우드 보안 서비::김준호::AWS Summit Seoul 2018 클라우드 보안 위협에 가장 현명한 대처 ‘안랩 클라우드 보안 서비::김준호::AWS Summit Seoul 2018
클라우드 보안 위협에 가장 현명한 대처 ‘안랩 클라우드 보안 서비::김준호::AWS Summit Seoul 2018
 
클라우드 보안 위협에 가장 현명한 대처 ‘안랩 클라우드 보안 서비::김준호::AWS Summit Seoul 2018
클라우드 보안 위협에 가장 현명한 대처 ‘안랩 클라우드 보안 서비::김준호::AWS Summit Seoul 2018클라우드 보안 위협에 가장 현명한 대처 ‘안랩 클라우드 보안 서비::김준호::AWS Summit Seoul 2018
클라우드 보안 위협에 가장 현명한 대처 ‘안랩 클라우드 보안 서비::김준호::AWS Summit Seoul 2018
 
[Games on AWS 2019] AWS 사용자를 위한 만랩 달성 트랙 | AWS 최적화 사용을 위해 운영자가 아닌 개발자들이 해야 할 ...
[Games on AWS 2019] AWS 사용자를 위한 만랩 달성 트랙 | AWS 최적화 사용을 위해 운영자가 아닌 개발자들이 해야 할 ...[Games on AWS 2019] AWS 사용자를 위한 만랩 달성 트랙 | AWS 최적화 사용을 위해 운영자가 아닌 개발자들이 해야 할 ...
[Games on AWS 2019] AWS 사용자를 위한 만랩 달성 트랙 | AWS 최적화 사용을 위해 운영자가 아닌 개발자들이 해야 할 ...
 
서버리스 아키텍처 패턴 및 로그 처리를 위한 파이프라인 구축기 - 황윤상 솔루션즈 아키텍트, AWS / Matthew Han, SendBi...
서버리스 아키텍처 패턴 및 로그 처리를 위한 파이프라인 구축기 - 황윤상 솔루션즈 아키텍트, AWS / Matthew Han, SendBi...서버리스 아키텍처 패턴 및 로그 처리를 위한 파이프라인 구축기 - 황윤상 솔루션즈 아키텍트, AWS / Matthew Han, SendBi...
서버리스 아키텍처 패턴 및 로그 처리를 위한 파이프라인 구축기 - 황윤상 솔루션즈 아키텍트, AWS / Matthew Han, SendBi...
 
디지털 해적들로부터 영상 콘텐츠 보호하기 – 황윤상 AWS 솔루션즈 아키텍트, 김준호 잉카엔트웍스 매니저:: AWS Cloud Week ...
디지털 해적들로부터 영상 콘텐츠 보호하기 –  황윤상 AWS 솔루션즈 아키텍트, 김준호 잉카엔트웍스 매니저:: AWS Cloud Week ...디지털 해적들로부터 영상 콘텐츠 보호하기 –  황윤상 AWS 솔루션즈 아키텍트, 김준호 잉카엔트웍스 매니저:: AWS Cloud Week ...
디지털 해적들로부터 영상 콘텐츠 보호하기 – 황윤상 AWS 솔루션즈 아키텍트, 김준호 잉카엔트웍스 매니저:: AWS Cloud Week ...
 
천만 사용자를 위한 AWS 클라우드 아키텍처 진화하기::이창수::AWS Summit Seoul 2018
천만 사용자를 위한 AWS 클라우드 아키텍처 진화하기::이창수::AWS Summit Seoul 2018천만 사용자를 위한 AWS 클라우드 아키텍처 진화하기::이창수::AWS Summit Seoul 2018
천만 사용자를 위한 AWS 클라우드 아키텍처 진화하기::이창수::AWS Summit Seoul 2018
 
KB국민은행은 시작했다 -  쉽고 빠른 클라우드 거버넌스 적용 전략 - 강병억 AWS 솔루션즈 아키텍트 / 장강홍 클라우드플랫폼단 차장, ...
KB국민은행은 시작했다 -  쉽고 빠른 클라우드 거버넌스 적용 전략 - 강병억 AWS 솔루션즈 아키텍트 / 장강홍 클라우드플랫폼단 차장, ...KB국민은행은 시작했다 -  쉽고 빠른 클라우드 거버넌스 적용 전략 - 강병억 AWS 솔루션즈 아키텍트 / 장강홍 클라우드플랫폼단 차장, ...
KB국민은행은 시작했다 -  쉽고 빠른 클라우드 거버넌스 적용 전략 - 강병억 AWS 솔루션즈 아키텍트 / 장강홍 클라우드플랫폼단 차장, ...
 
AWS re:Invent 2018를 통해 본 개발자들이 원하는 4가지 클라우드 동향 :: 윤석찬 - AWS Community Day 2019
AWS re:Invent 2018를 통해 본 개발자들이 원하는 4가지 클라우드 동향 :: 윤석찬 - AWS Community Day 2019 AWS re:Invent 2018를 통해 본 개발자들이 원하는 4가지 클라우드 동향 :: 윤석찬 - AWS Community Day 2019
AWS re:Invent 2018를 통해 본 개발자들이 원하는 4가지 클라우드 동향 :: 윤석찬 - AWS Community Day 2019
 
AWS 클라우드 핵심 서비스로 클라우드 기반 아키텍처 빠르게 구성하기 - 문종민 솔루션즈 아키텍트, AWS :: AWS Summit Seo...
AWS 클라우드 핵심 서비스로 클라우드 기반 아키텍처 빠르게 구성하기 - 문종민 솔루션즈 아키텍트, AWS :: AWS Summit Seo...AWS 클라우드 핵심 서비스로 클라우드 기반 아키텍처 빠르게 구성하기 - 문종민 솔루션즈 아키텍트, AWS :: AWS Summit Seo...
AWS 클라우드 핵심 서비스로 클라우드 기반 아키텍처 빠르게 구성하기 - 문종민 솔루션즈 아키텍트, AWS :: AWS Summit Seo...
 
AWS와 함께하는 클라우드 컴퓨팅 (강철 AWS 매니저) :: AWS 기초 교육 온라인 세미나
AWS와 함께하는 클라우드 컴퓨팅 (강철 AWS 매니저) :: AWS 기초 교육 온라인 세미나AWS와 함께하는 클라우드 컴퓨팅 (강철 AWS 매니저) :: AWS 기초 교육 온라인 세미나
AWS와 함께하는 클라우드 컴퓨팅 (강철 AWS 매니저) :: AWS 기초 교육 온라인 세미나
 
AWS와 함께하는 클라우드 컴퓨팅 - 강철, AWS 어카운트 매니저 :: AWS Builders 100
AWS와 함께하는 클라우드 컴퓨팅 - 강철, AWS 어카운트 매니저 :: AWS Builders 100AWS와 함께하는 클라우드 컴퓨팅 - 강철, AWS 어카운트 매니저 :: AWS Builders 100
AWS와 함께하는 클라우드 컴퓨팅 - 강철, AWS 어카운트 매니저 :: AWS Builders 100
 
[AWS Techshift] 클라우드 소프트웨어의 유통 채널 Marketplace 활용하기 - 이경수, AWS 파트너 솔루션즈 아키텍트
[AWS Techshift] 클라우드 소프트웨어의 유통 채널 Marketplace 활용하기 - 이경수, AWS 파트너 솔루션즈 아키텍트[AWS Techshift] 클라우드 소프트웨어의 유통 채널 Marketplace 활용하기 - 이경수, AWS 파트너 솔루션즈 아키텍트
[AWS Techshift] 클라우드 소프트웨어의 유통 채널 Marketplace 활용하기 - 이경수, AWS 파트너 솔루션즈 아키텍트
 
AWS상에서 블록체인 서비스 구축 및 활용가이드 대방출! - 박천구 솔루션즈 아키텍트, AWS / 오재훈 이사, 두나무 :: AWS Sum...
AWS상에서 블록체인 서비스 구축 및 활용가이드 대방출! - 박천구 솔루션즈 아키텍트, AWS / 오재훈 이사, 두나무 :: AWS Sum...AWS상에서 블록체인 서비스 구축 및 활용가이드 대방출! - 박천구 솔루션즈 아키텍트, AWS / 오재훈 이사, 두나무 :: AWS Sum...
AWS상에서 블록체인 서비스 구축 및 활용가이드 대방출! - 박천구 솔루션즈 아키텍트, AWS / 오재훈 이사, 두나무 :: AWS Sum...
 
AWS의 다양한 Compute 서비스(EC2, Lambda, ECS, Batch, Elastic Beanstalk)의 특징 이해하기 - 김...
AWS의 다양한 Compute 서비스(EC2, Lambda, ECS, Batch, Elastic Beanstalk)의 특징 이해하기 - 김...AWS의 다양한 Compute 서비스(EC2, Lambda, ECS, Batch, Elastic Beanstalk)의 특징 이해하기 - 김...
AWS의 다양한 Compute 서비스(EC2, Lambda, ECS, Batch, Elastic Beanstalk)의 특징 이해하기 - 김...
 
AWS Finance Symposium_국내 메이저 증권사의 클라우드 글로벌 로드밸런서 활용 사례 (gslb)
AWS Finance Symposium_국내 메이저 증권사의 클라우드 글로벌 로드밸런서 활용 사례 (gslb)AWS Finance Symposium_국내 메이저 증권사의 클라우드 글로벌 로드밸런서 활용 사례 (gslb)
AWS Finance Symposium_국내 메이저 증권사의 클라우드 글로벌 로드밸런서 활용 사례 (gslb)
 
AWS와 함께 하는 클라우드 컴퓨팅 - 홍민우 AWS 매니저
AWS와 함께 하는 클라우드 컴퓨팅 - 홍민우 AWS 매니저AWS와 함께 하는 클라우드 컴퓨팅 - 홍민우 AWS 매니저
AWS와 함께 하는 클라우드 컴퓨팅 - 홍민우 AWS 매니저
 

202003 AWS ISV/DNB KMS_WAF_webinar

  • 1. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. SECURITY FIRST ISV/DNB Security Webinar 조이정 솔루션즈 아키텍트 April. 2020
  • 2. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. 목차 • Why encryption ? • AWS KMS(Key Management Service) • Why WAF ? • AWS WAF(Web Application Firewall) • Demo! on AWS WAF • Quiz ! on AWS KMS & AWS WAF + 문제풀이
  • 3. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. SECURITY FIRST AWS KMS ISV/DNB Webinar 조이정 솔루션즈 아키텍트 April. 2020
  • 4. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Why Encryption ?
  • 5. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. 4차 산업 혁명의 주인공, 데이터 출처 : https://www.aparavi.com/data-growth-statistics-blow-your-mind/
  • 6. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. 데이터 암호화의 중요성 ?
  • 7. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. 데이터 암호화의 중요성 ! 1. Improve employee awareness 2. Implement access controls for apps and data 3. Add additional data usage controls 4. Monitor data usage 5. Encrypt all data 6. Secure employee devices 7. Secure IoT devices 8. Conduct regular risk assessments 9. Opt for off-site data backup 10. Scrutinise third parties and partners 5. Encrypt all data
  • 8. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS의 shared responsibility model 고객측 IAM AWS IAM 방화벽 설정(S/G, NACL) 데이터 AWS IAM 데이터 어플리케이션 운영체제 네트워킹/방화벽 데이터 고객측 IAM AWS IAM Infrastructure Services Container Services Abstract Services
  • 9. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Preview to Encryption
  • 10. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. 암호화 기본 개념 Plaintext Data Key Encryption Algorithm Ciphertext Plain text Data key Algorithm Encrypted data
  • 11. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. 암호화 기본 개념 Encryption Algorithm Plaintext Ciphertext Data Key
  • 12. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. 대칭키 vs. 비대칭키 • 대칭키 방식 ü 하나의 key를 사용하여 데이터를 암/복호화 ü 상대방과 안전하게 키 공유가 어려움 • 비대칭키 방식 ü 2개의 키 생성 후, 하나는 공개 (Public key), 하나는 안전하게 보관 (Private key) ü Public Key로 암호화한 내용은 Private Key로만 복호화 가능 ü 대칭 Key의 단점인 암호 통신 시 Key 공유 문제 해결, 하지만 속도가 느림
  • 13. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. HSM • HSM (Hardware Security Module) ü 강력한 인증을 위해 디지털 키를 보호 및 관리하고 암호화 처리를 제공하는 물리적 컴퓨팅 장치 ü 암호키 탈취 대비 기능 ü Audit 을 위한 로그 저장 ü 국제 표준 준수
  • 14. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS KMS (Key Management Service)
  • 15. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. 키 관리 솔루션 선택 시 주요 고려사항 § 어디에 키를 보관할 것인가? • 소유한 하드웨어 장비? • 클라우드 사업자의 하드웨어 장비? § 어디에서 키를 사용할 것인가? • 고객이 통제하는 클라이언트? • 클라우드 사업자가 통제하는 서버환경? § 누가 키를 사용할 수 있는가? • 권한을 가진 사용자 혹은 어플리케이션? • 권한을 부여한 클라우드 사업자의 어플리케이션?
  • 16. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. KMS(Key Management Service)이란? § 데이터 암호화에 사용하는 암호화 키를 쉽게 생성/보관/관리해주는 관리형 서비스 § 서버측 / 클라이언트 측 암호화를 지원 § 중앙 집중 암호화 키 관리 : EBS S3 Redshift AWS SDK AWS CloudTrail Customer master key S3 bucket EBS volume RDS instance CMK Data key Data key Data key Key Management Service
  • 17. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Customer Master Keys 와 Data Keys § Customer Master Keys (CMKs) • 데이터 키를 생성 및 암호화 • 고유한 ARN • AWS KMS 인프라를 벗어나지 않음 • HSM 에서 생성되거나 고객에 의해 import • Region specific, globally unique § Data Keys • 데이터 암호화 • AWS KMS 인프라 내에서 생성 • CMK에 의해 보호됨 • 암호화 되지 않은 상태로 영구 스토리지에 보관하지 말 것 !
  • 18. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. KMS의 봉투 암호화 § 2계층 키 구조와 봉투 암호화 • 데이터를 암호화하는데 사용되는 데이터 키 • 고객 마스터 키(CMK)를 통해 데이터 키를 암호화 • CMK 정책으로 데이터에 대한 접근 제어 § 장점 • 데이터 키의 변조 위험 감소 • 대용량 데이터 암호화에 대한 성능 향상 • 수백만 데이터 키들보다 훨씬 적은 수의 마스터 키를 집중 관리하는게 효율적 • 키 관련 행위에 대한 중앙 집중식 접근관리와 감사 (CloudTrail) Encrypted Data Key Encrypted Data Plaintext Data Encrypted Message Key Encryption Key (CMK) Plaintext Data Key Encryption Algorithm Encryption Algorithm
  • 19. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. KMS 키를 사용하는 방식 Your application or AWS service + Data key Encrypted data key Encrypted data Master keys in customer’s account KMS 1. 클라이언트에서 KMS 마스터 키 ID를 전달하면서 kms:GenerateDataKey 실행요청. 2. 제출된 요청에 대해 사용자와 키 각각의 권한을 확인. 3. KMS마스터 키 밑에 데이터 암호화 키를 랜덤하게 생성함. 4. 클라이언트 측에 평문 키와 암호화된 키를 전달. 5. 평문 키는 데이터를 암호화 하는데 사용되고 바로 삭제됨. 6. 암호화된 데이터 키는 추후 사용에 대비하여 저장됨. 나중에 복호화 필요시,KMS쪽에 보관된 암호화 키를 제출하여 복호화된 키를 받아서 사용함.
  • 20. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. KMS 암호화 Encrypt API Result 요청 결과의 CiphertextBlob 이나 EncryptionContext 가 decrypt 요청 시 동일하지 않으면 요청이 실패 됨
  • 21. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS 상에서 암호화를 적용하는 2가지 타입 서버 측 암호화(Server-Side Encryption) • AWS가 전송된 데이터에 대해 고객 대신 서버 측에서 암호화 작업 수행 • 총 34 개 서비스 연동 : Amazon S3, Amazon EBS, Amazon RDS, Amazon Redshift, Amazon WorkSpaces, Amazon Kinesis Streams, AWS CloudTrail… • 고객 관리 통제 하에 AWS KMS에 암호화 키 보관 클라이언트 측 암호화(Client-Side Encryption) • 데이터를 전송하기 전에 암호화 수행 • 고객이 직접 암호화 키를 마련하고 직접 관리하거나, AWS KMS/CloudHSM내에 보관 관리 • 도구들: AWS Encryption SDK, S3 Encryption Client, EMRFS Client, DynamoDB Encryption Client
  • 22. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. 서버 측 암호화 Client-side Server-side Request KMS ② ③ + ④ CMK Data key Data key Data key Data key Plaintext data key Encrypted data key ① Encryption Algorithm Data key Data key Plaintext data key Encrypted data key ⑤ Data key Plaintext data key Removed from memory + + XEncryption Algorithm Encrypted data + Stored in S3
  • 23. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. 서버 측 암호화 - EBS 볼륨 암호화 § create-volume [--dry-run | --no-dry-run] [--size <value>] [--snapshot-id <value>] --availability-zone <value> [--volume-type <value>] [--iops <value>] [--encrypted | --no-encrypted] [--kms-key-id <value>] [--cli-input-json <value>] [--generate-cli-skeleton] Console AWS CLI/SDK
  • 24. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS 서비스의 AWS KMS 활용 방식 <AWS KMS와 통합되는 AWS 서비스>
  • 25. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. 클라이언트 측 암호화 Client-side Server-side Application Master Key Provider (Keyring) ② ③ + CMK Data key Data key Plaintext data key Encrypted data key ① AWS Encryption SDK Encryption Algorithm Data key Plaintext data key + + Encryption Algorithm Encrypted data Data key Encrypted data key + S3 Encrypted data Metadata Data key Data key On-prem HSM AWS CloudHSMAWS KMS
  • 26. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Encryption SDK 암호화 작업에서, 개발자는 다음 2개의 사항만 고려: • 암호화 할 메세지/파일/데이터스트림 • 마스터 키들을 리턴하는 마스터 키 제공자(key provider) SDK를 다양한 방식으로 커스터마이징해서 사용 • 복수 리전에서 복수개의 키를 활용하여 암호화 • 성능향상 이나 KMS Limit을 회피하기 위해 데이터 키 캐싱 기능을 이용하여 KMS로의 요청을 절감 현재 Java, Python, JavaScript, C, CLI 버전 제공 http://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html
  • 27. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. 키 캐싱 ­ 안하는 경우
  • 28. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. 키 캐싱 ­ 하는 경우
  • 29. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. CMK 의 종류 § AWS 소유 CMK : ex) SSE-S3 § AWS 관리형 CMK : ex) SSE-KMS : aws/s3 § 고객 관리형 CMK : ex) SSE-KMS : 사용자 지정 KMS ARN § 고객 관리형 CMK를 import 할 수 있는 방법 § KMS § CloudHSM § 외부에서 import
  • 30. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. 콘솔 상의 키 정책 화면
  • 31. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. 마스터 키 교체 주기 설정 § 교체주기의 의미: • 신규 마스터키를 생성하고, 동일한 키 아이디 혹은 Alias를 맵핑하게 됨. • 새로 들어오는 모든 요청은 신규 마스터 키로 작업. • 이전 버전들은 복호화를 위해 전부 보관됨 § 키 교체와 관련하여 사용자나 어플리케이션에서 별도로 진행할 내용은 없음. 동일한 키 아이디나 Alias 유지 AWS CLI enable-key-rotation --key-id <value> Console (Key Summary Page)
  • 32. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. CloudTrail상의 KMS키 사용로그 내용 "EventName":"DecryptResult", 다음 액션에 해당하는 API가 호출됨 "EventTiime":"2014-08-18T18:13:07Z", ….호출된 시간 "RequestParameters": § "{"keyId":"2b42x363-1911-4e3a-8321-6b67329025ex”}”, …사용된 키에 대한 정보 “EncryptionContext":"volumeid-12345", …키가 사용된 AWS 리소스 § "SourceIPAddress":" 203.0.113.113", …호출자의 IP주소 "UserIdentity": § “{"arn":"arn:aws:iam:: 111122223333:user/User123“} …호출자의 신원
  • 33. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. 어떻게 KMS를 믿고 사용할 수 있을까요? ü 평문키는 절대 영구 저장장치에 보관되지 않습니다. ü 키가 저장된 곳에 물리적으로 접근할 수 있는 도구가 없습니다. ü 고객이 직접 키를 사용할 수 있는 권한을 제어합니다. ü 마스터키를 사용하는 시스템과 데이터키를 사용하는 시스템은 여러가지 통제가 적용되어 완전히 분리되어 있습니다. ü KMS API 사용 이력과 관련하여 CloudTrail을 통해 모든 증적을 확인할 수 있습니다. ü 또한, 다음과 같은 외부 감사를 받고 있습니다 : • Service Organization Control (SOC 1) • PCI-DSS • See AWS Compliance packages for details
  • 34. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS KMS, 비대칭키 지원(서울리전미지원) 데이터 키페어 생성 데이터 암/복호화 디지털 서명/확인
  • 35. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. 대칭키 vs. 비대칭키 차이점 키와 키페어 대칭키 : 암호화와 복호화에 쓰이는 키가 동일 비대칭키 : 쌍으로 이루어진 퍼블릭키/프라이빗키 조합이 암/복호화 및 서명에 쓰임 CMK의 암호화작업이 발생하는 공간 대칭 CMK : 키의 암호화 작업이 서비스 내에서만 발생 비대칭 CMK : 암호화와 서명 작업이 서비스 밖에서 발생할 수 있음 서비스 통합 비대칭키 : 아직 타 AWS 서비스와의 통합지원 안됨
  • 36. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. 대칭키 vs. 비대칭키, when to use? 암복호화 시 - 대부분의 경우 대칭CMK로 데이터 키(페어)를 생성해서 사용 - AWS KMS API를 호출 할 수 없는 경우 비대칭CMK를 사용하여 암호화 (퍼블릭키 다운로드) 서명 시 - 비대칭키 (RSA 혹은 ECC) 를 사용 - AWS KMS verify API 콜이 불가한 상황이어도 퍼블릭키 다운로드해서 사용 가능 퍼블릭키 암호화 시 - 비대칭키 (RSA 알고리즘) 를 사용 ** 복호화는 KMS내부에서 비대칭 CMK의 프라이빗 부분으로 이루어짐
  • 37. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Summary Audit Access controls Encrypting services Secondary storage Client Corporate data center AWS Cloud
  • 38. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
  • 39. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. SECURITY FIRST AWS WAF ISV/DNB Webinar 조이정 솔루션즈 아키텍트 April. 2020 IAM
  • 40. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Why WAF ?
  • 41. 웹 기반 공격 <Web App 공격 트랜드 (2019) > 출처 : https://www.cbronline.com/news/sql-injection-attacks
  • 42. 웹 방화벽(WAF)이란? • Web Application Firewall (WAF): HTTP트래픽에 대하여 특정한 규칙을 적용하기 위한 어플라이언스, 웹서버 플러그인/필터 형태의 보안 제품. • 사용 목적 : 중요 데이터 유출사고 및 서비스 중단 등을 발생시킬 수 있는 웹싸이트 또는 어플리케이션에 대한 공격 방어 • WAF 제품 유형 • 전통적인 WAF: 독립적인 어플라이언스 또는 소프트웨어 방식 • CDN 번들링 형태 • 로드밸런서 번들링 형태 • Universal Threat Manager (UTM) 타입: 네트웍 보안 위협 범용 대응 데이터베이스웹 서버WAF 정상 접근 악의적인 접근
  • 43. 기존 웹 방화벽(WAF)의 문제 § 제대로 구축하기가 어렵고 시간이 많이 걸림 § 오탐율이 많은 규칙들 § 트래픽이 폭증할때 확장에 한계 § 자동화를 위한 API 부족 § 유지보수에 과다한 노력 필요
  • 44. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS WAF (Web Application Firewall)
  • 45. AWS WAF 웹 어플리케이션 레이어 악성 봇디도스 OWASP 타입 공격 HTTP floods 과다 요청자 크롤러SQL 인젝션 XSS 어플리케이션 취약점 스캐너 & probes 컨텐츠 수집기 AWS WAF • 웹 취약점으로부터 웹 애플리케이션 보호
  • 46. CloudFront/ALB/API Gateway 워크로드 보호 WEB/WAS www.example.com CloudFront 사용자 Safe Traffic Edge Location Edge Location WAF WAF 해커 악성 봇 적법 접근 SQLi, XSS, .. WAF ELB ALB 사용자 적법 접근 VPC WEB/WAS
  • 47. AWS WAF 동작 CloudFront로 컨텐츠에 대한 HTTP/HTTPS요청 전달 WAF 요청을 검사하고 결과를 CF로 리턴 (allow/deny) CF에서 WAF의 검사를 받아야 하는지를 판단 WAF는 CW로 메트릭 전송; API를 이용하여 규칙 업데이트 CloudFront에 의해 요청된 컨텐츠 전송CloudFront에 설정된 Error페이지 전송 CloudFront CloudFront CloudFront BLOCK WAF PASS CloudWatch
  • 48. AWS WAF 구성 Web ACLs : o AWS resource 지정 (CloudFront / ALB / API GW) o 규칙을 추가하여 보호 전략을 정의 o Amazon managed rule o Custom rule o Web ACL에 대한 기본 작업 지정 (차단/허용) o 규칙 우선순위 설정 o CloudWatch metric 지정 Rule groups: o JSON 포멧의 룰 o Visual editor o JSON editor o 재사용 가능한 custom 규칙 저장 o 리전 특정 o 규칙 우선순위 설정 AWS WAF Console IP sets: o 규칙 문에 사용되는 IP 주소 및 IP 주소 범위 Regex pattern sets: o 규칙 문에 사용되는 정규 표현식 모음 ** Web ACL 혹은 Rule group에서 사용됨
  • 49. Request Web Access Control List (Web ACL) Managed Rule Group Single-digit millisecond latency Amazon CloudFront Application Load Balancer Amazon API Gateway Amazon CloudWatch Users Rule 1 Rule 2 Rule Z … WAF 내부 동작 Order (Priority) IP set Action Associated AWS resources Logging and Metrics Rules Default Action Allow or Deny Actions: • Accept • Deny • Count Rule Action Rule • Core ruleset • Known bad input • SQL DB • Linux • …. Custom Rule Group Rule 1 Rule 2 Rule Z …… Rule • GeoMatch • Regex pattern • String match • SQLi • Size match • Xss
  • 50. AWS 관리형 규칙 (AMR) 자체 규칙을 작성하지 않고 일반적인 애플리케이션 취약성 또는 기타 원치 않는 트래픽에 대한 보호를 제공하는 AWS 관리형 서비스 • AWS Threat Research Team (TRT)에서 관리하고 유지하는 규칙 세트 • Amazon 내부에서 습득한 보안 지식과 위협 탐지 반영 • OWASP Top 10 및 anti-bot IP reputation list 포함 추가 비용 없이 사용 가능 • 지정된 WAF Capacity Unit (WCU) 내에서 소비 가능
  • 51. 용어 : WCU (Web ACL Capacity Units) 규칙, 규칙 그룹 및 웹 ACL을 실행하는 데 사용되는 운영 리소스를 계산하고 제어라는 용량 단위 • 각 규칙 유형마다 다르게 용량을 계산하여 각 규칙의 상대적 리소스 비용을 반영 • 복잡한 규칙일수록 간단한 규칙에 비해 WCU를 많이 소비 • 규칙 그룹 생성 시 AWS WAF에서는 생성 시 각 규칙 그룹에 변경 불가능한 용량을 할당해야 합니다. • 초기 제한 Web ACL당 1,500 WCU • 더 많은 용량이 필요한 경우 AWS Support Center에 문의 필요. Rule Type WCU Consumed Geo-IP match (country) 1 IP set match (each set can contain 10,000 IPs) 1 Size constraint match 1 String comparison match (starts with) 2 String comparison match (contains) 10 SQLi detection 20 XSS detection 40 Regex set match (each set can contain 10 patterns) 25 Text transformation (applies once per unique header/body) 10
  • 52. AWS 관리형 규칙 (AMR) Category Ruleset Description WCU consumed CRS Core Ruleset OWASP Top 10 및 CVE 700 CRS Admin Protection 외부에 노출된 어드민 페이지에 대한 엑세스 차단 100 CRS Known Bad Inputs 알려진 취약성 악용 요청 차단 200 EXR SQL DB SQL 데이터베이스 악용과 관련된 요청 패턴 차단 200 EXR Linux operating system LFI(로컬 파일 포함) 공격을 포함, Linux 특정한 취약성 악용과 관련된 요청 패턴 차단 200 EXR POSIX operating system LFI(로컬 파일 포함) 공격을 포함, POSIX 및 POSIX 유사 운영 체제에 특정한 취약성 악용과 관련된 요청 패턴 차단 100 EXR Windows operating system PowerShell 명령의 원격 실행과 같이 Windows에 특정한 취약성 악용과 관련된 요청 차단 200 EXR PHP application 안전하지 않은 PHP 함수 삽입 차단 100 EXR WordPress application WordPress 관련된 취약성 악용과 관련된 요청 패턴 차단 100 IP List Amazon.com IP Reputation List Amazon 내부 위협 인텔리전스를 기반으로 봇과 같은 위협 차단 25 IP List Anonymous IP list 뷰어 ID의 난독화를 허용하는 서비스 요청을 차단 (VPN, 프록시, Tor 노드 및 호스팅 공급자의 요청 등) 50 AWS 관리형 규칙 목록
  • 53. AWS 관리형 규칙 (AMR) Managed ruleset 포함 rule 확인 • 콘솔 확인 • 웹 ACL > 규칙(Rule) 탭 > 규칙 그룹 > 편집 • Override rules action 으로 개별 규칙을 개수 모드로 설정 가능 • AWS CLI : • aws wafv2 describe-managed-rule-group - -scope=REGIONAL - -vendor-name=<vendor> - -name=<managedrule_name>
  • 54. Custom 규칙 Web ACL에 Custom 규칙을 적용하는 방법 1. Web ACL에서 Rule Builder를 생성 및 적용 2. Rule group 을 통해 재사용 가능한 규칙 적용
  • 55. Custom 규칙 Custom 규칙을 작성하는 방법 Document-based로 변경되어 규칙 업데이트가 간소화되면서도 훨씬 더 정교한 규칙 작업이 가능하게 되었음 1. Visual Editor로 간편하게 작성 2. JSON Editor로 좀더 복잡한 규칙을 직접 작성 기본적으로 모든 규칙은 JSON 형태로 적용됨
  • 56. 일치 조건 (Match Condition) 일치 조건 (영어) 일치 조건(한글) 설명 WCUs Geographic Match 지역 일치 요청의 출처 국가를 검사 1 IP set Match IP 집합 일치 요청 출처를 IP주소 및 주소 범위 집합과 비교 1 Regex Pattern Match 정규식 패턴 집합 정규식 패턴을 지정된 요청 구성 요소와 비교 패턴 세트 당 25 Size constraint 크기 제약 조건 지정된 요청 구성 요소에 대해 크기 제약 조건을 검사 1 SQLi Attack SQL 주입 공격 지정된 요청 구성 요소에서 악성 SQL 코드를 검사 20 String Match 문자열 일치 문자열을 지정된 요청 구성 요소와 비교 매치 유형에 따라 다름 XSS Scripting Attack XSS 공격 지정된 요청 구성 요소에서 사이트 간 스크립팅 공격을 검사 40 웹 요청을 사용자가 설정한 일치 조건과 비교하여 향후의 Action 을 결정
  • 57. Condition : Geographic Match 출처 국가를 기준으로 웹 요청을 허용 또는 차단 • Location : ISO 3166 국제 표준의 alpha-2 국가 ISO 코드에서 나온 2자리 국가 코드) § 한국 – KR § 북한 – KP § 중국 – CN § 러시아 – RU § …..
  • 58. Condition : IP set Match IP 주소 및 주소 범위의 집합에 대한 웹 요청 출처의 IP 주소를 검사 • IP v4, IP v6 지원 • CIDR Block: /1 부터 /32 까지 자유롭게 기술 가능 각 IP 집합 일치 규칙은 규칙과 관계 없이 생성 및 유지 관리하는 “IP 집합”을 참조
  • 59. Condition : Regex Pattern Match 정규식 패턴 집합 내에서 지정한 정규 표현식 패턴에 대해 지정한 웹 요청 부분을 검사 • PCRE (Perl Compatible Regular Expression)기준 지원 • 검사 부분 지정 (요청 구성 요소) • 텍스트 변환 지원으로 공격자가 WAF를 우회하기 위해 사용하는 일부 비정상적인 서식 제거 각 정규식 패턴 집합 일치 규칙은 규칙과 관계 없이 생성 및 유지 관리하는 “정규식 패턴 집합”을 참조
  • 60. Condition : Regex Pattern Match 예시 정규식 I[a@]mAB[a@]dRequest 는 IamABadRequest, IamAB@dRequest, I@mABadRequest 및 I@mAB@dRequest 등을 차단할 수 있음
  • 61. Condition : Size Constraint 초과(>) 또는 미만(<)과 같은 비교 연산자를 사용하여 요청 구성 요소의 크기에 대해 바이트 수를 비교 • 검사 부분 지정 (요청 구성 요소) • 텍스트 변환 지원으로 공격자가 WAF를 우회하기 위해 사용하는 일부 비정상적인 서식 제거 • 비교 연산자 : <, >, =, <=, >= 등 • Size 제한을 바이트 단위로 설정 (upto 8,192)
  • 62. Condition : SQLi Attack 웹 요청 일부(예: URI / 쿼리 문자열)를 식별하여 악성 SQL 코드가 포함된 것으로 보이는 요청을 차단 • 검사 부분 지정 (요청 구성 요소) • 텍스트 변환 지원으로 공격자가 WAF를 우회하기 위해 사용하는 일부 비정상적인 서식 제거 • SQLi를 위한 세부 탐지 규칙은 AWS WAF 자체적으로 관리됨 예시 SELECT * FROM airport WHERE code=‘icn’ or 1=‘1’ curl -X POST $JUICESHOP_URL -F "user='AND 1=1;"
  • 63. Condition : String Match 웹 요청 일부(예: User-agent header)와 미리 지정된 문자열을 비교하여 허용 혹은 차단 • 검사 부분 지정 (요청 구성 요소) • 텍스트 변환 지원으로 공격자가 WAF를 우회하기 위해 사용하는 일부 비정상적인 서식 제거 문자열 일치 조건 • Contains string(문자열 포함) • Exactly matches string(정확히 문자열과 일치) • Starts with string(문자열로 시작) • Ends with string(문자열로 끝) • Contains word(단어 포함)– 영숫자 또는 밑줄(A-Z, a-z, 0-9 또는 _)만 포함
  • 64. Condition : XSS Scripting Attack 악성일 수 있는 스크립트가 있는지 검사할 웹 요청의 부분(예: URI 또는 쿼리 문자열)을 식별 • 검사 부분 지정 (요청 구성 요소) • 텍스트 변환 지원으로 공격자가 WAF를 우회하기 위해 사용하는 일부 비정상적인 서식 제거 • XSS를 위한 세부 탐지 규칙은 AWS WAF 자체적으로 관리됨 예시 <개발자의 의도> <XSS 공격> <결과>
  • 65. 논리적 규칙문 논리적 문 설명 WCU 중첩 가능 여부 AND 로직 중첩된 문을 AND 로직과 결합 중첩 문 기반 예 NOT 로직 중첩된 문의 결과를 무효화 중첩 문 기반 예 OR 로직 중첩된 문을 OR 로직과 결합 중첩 문 기반 예 서로 다른 문을 결합하거나 결과를 무효화 AND 로직 예시 : “나는 특정 국가에서 나온 요청이나 특정 쿼리 문자열이 포함된 요청을 차단하고 싶다.” NOT 로직 예시 : “나는 특정 국가가 출처가 아닌 요청을 차단하고 싶다.” OR 로직 예시 : “나는 특정 IP 대역 혹은 특정 국가에서오는 요청을 모두 차단하고 싶다.”
  • 66. 요청 구성 요소 (Request Component) AWS WAF에서 검사할 웹 요청의 일부를 지정 • 검사할 요청 부분에 대한 옵션 § 헤더(header) : 특정 요청 헤더. Header field name 에 이름(예: User-Agent) 지정 필요 § HTTP 메서드 : 웹 요청이 오리진에게 수행을 요구하는 HTTP 메서드 (예: GET, POST) § 쿼리 문자열 : (있는 경우) ? 문자 뒤에 나타나는 URL의 부분. § 단일 쿼리 파라미터 : 쿼리 문자열의 일부로 정의한 모든 파라미터. Query parameter name 지정 필요. (이름의 최대 길이는 30자, 대소문자 구분 없음) § 모든 쿼리 파라미터 : 쿼리 문자열 내의 모든 매개 변수 값을 검사 § URI : 리소스를 식별하는 URL의 부분. § 본문(body) : 요청 헤더 바로 뒤에 오는 요청 부분
  • 67. 요청 구성 요소 (Request Component) 요청 구성 요소의 텍스트 변환 : 공격자가 WAF를 우회하기 위해 사용하는 일부 비정상적인 서식 제거 • 텍스트 변환을 위한 옵션 § 소문자로 변환 § HTML 디코딩 (ex. &quot; > &) § 공백 표준화 § 명령줄 간소화 § URL 디코딩 예시 /login?x=test%20Id=10%20AND=1 /login?x=test%27%20UNION%20ALL%20select%20NULL%20-- /login?x=test’ UNION ALL select NULL -- Transform: URL Decode Match: SQL Injection 탐지 실패 탐지 성공
  • 68. 규칙 작업 (Rule Action) 웹 요청이 규칙에 정의된 조건과 일치할 때 웹 요청으로 수행할 작업을 정의 • 허용 (Allow) – AWS WAF가 처리 및 응답을 위해 요청이 AWS 리소스로 전달되도록 허용 • 차단 (Deny) – AWS WAF기 요청을 차단하고 AWS 리소스는 HTTP 403(금지됨) 상태 코드로 응답 • 개수 (Count) – AWS WAF은 요청의 개수는 세지만, 요청의 허용 또는 차단 여부를 결정하지 않음.
  • 69. 규칙 타입 (Rule Type) 발신 IP 주소에 대한 요청 비율을 추적하고, 5분 간의 요청 수에 대해 지정한 제한을 초과할 경우 차단 • 규칙 작업이 일단 트리거되면 요청 비율이 다시 제한 값 이하로 떨어질 때까지 해당 IP 주소를 차단 • 비율 기반 문 내에 다른 문을 중첩하여 일치하는 요청만 계수하도록 설정. • 과도한 요청을 전송하는 IP 주소의 요청에 임시 차단을 적용하는 데 유용. 예시 : 공격자로 예상되는 192.0.2.44 의 웹 사이트의 특정 페이지에 대한 요청을 제한하려는 경우 주소 192.0.2.44를 지정하는 IP 집합이 있는 IP 일치 문 AND 요청구성요소 ’URI’ 에 대해 ‘login’ 으로 시작하는 String 일치 문 중첩문 작성 및 비율 제한 지정
  • 70. 규칙 그룹 (Rule Group) 생성 및 유지 관리하는 자체 규칙 그룹 • 직접 작성하고 관리, 재사용할 수 있는 규칙 모음 • 자주 쓰는 규칙을 모아서 관리하고 한꺼번에 Web ACL에 반영 • 규칙 그룹을 생성할 때는 변경이 불가능한 최대 용량을 설정 • 리전별 관리
  • 71. Custom 규칙 작성 예시 "Rules": [ { "Name": "foo", "Priority": 1, // the priority this rule is triggered at "Statements": { <Condition> // this is where conditions (e.g. SQLi detection) are kept, will revisit later }, "Action": { "Block": {} "Allow": {} "Count": {} }, "VisibilityConfig": { // the CloudWatch and SampledRequests metric generated for this rule "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "TestMetric" } } // repeat the block above for subsequent rule ]
  • 72. Custom 규칙 작성 예시 : SQLi attack condition // Single SQLi detection condition "Statements": { "SqliMatchStatement": { "FieldToMatch": { "SingleHeader": { "Name": "foo" }, "SingleQueryArgument": { "Name": "foo" }, "AllQueryArguments": {}, "URI": {}, "QueryString": {}, "Body": {}, "Method": {} }, "TextTransformations": [ { "Priority": 1, "Type": "COMPRESS_WHITE_SPACE" }, { "Priority": 2, "Type": "HTML_ENTITY_DECODE" } ] } } Available values: NONE COMPRESS_WHITE_SPACE HTML_ENTITY_DECODE LOWERCASE CMD_LINE URL_DECODE
  • 73. Custom 규칙 작성 예시 : AND / OR 중첩문 "Statements": { "AndStatement": { // Can be replaced with OrStatement "Statements": [ // Note the start of list here with square bracket { <Condition #1> }, { <Condition #2> }, { <Condition #3> } // Add more conditions as desired ] } } You can nest AND/OR statement. Simply repeat the statement in one of the condition block.
  • 74. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. WAF classic vs. WAFv2
  • 75. AWS WAF Classic WAF vs. WAF 새로운 API • “wafv2” 라는 고유한 namespace • “waf” 나 “waf-regional”가 없어지고, 단일 API로 사용 새로운 룰 작성 방법 • 각 룰 타입에 따른 개별 API없음 • JSON 포멧의 Document-based 룰 작성 • JSON 파일로 모든 룰을 구성하고 간편하게 UpdateWebACL API 를 콜해서 반영 새로운 룰셋 용량 : WAF Capacity Unit (WCU) • 더이상 WebACL 당 10개 룰로 제한되지 않음 • 다양한 서비스 제한 소멸 (ex. 필터 개수 제한) 새로운 콘솔 경험 • 간편해지고 직관적으로 변화 새로운 탐지 능력 • OR 로직, 다중 변형 빌트인 관리형 룰셋 : AWS Managed Rules • AWS가 관리하고 유지하는 룰셋 • Amazon 내부에서 습득한 보안 지식과 위협 탐지 반영 • OWASP Top 10 및 anti-bot IP reputation list 포함
  • 76. AWS WAF Classic 가용성 기존의 WAF는 그대로 유지 • Terms such as web ACL, conditions, IP sets, regex set, etc. 기존의 WAF 기능도 모두 유지 • E.g., 속도기반 룰, 로그 등 기존의 WAF에서 WAF classic으로 명명 • WAF classic에는 새로운 기능이 추가되지 않을 예정 • 새로운 고객은 WAFv2를 사용할 것을 권고
  • 77. Custom 규칙 작성 (waf-classic 과 비교) § GetChangeToken § UpdateByteMatchSet § GetChangeToken § UpdateRule § GetChangeToken § UpdateRuleGroup § … § (Repeat for each rule) § (After 200th times) § Done… UpdateRuleGroup Done! "Rules": [ { "Name": "foo", "Priority": 1, "Statements": { <Condition> }, "Action": { "Block": {} "Allow": {} "Count": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "TestMetric" } } ] Before After Make all changes in JSON in your favorite editor! Difficult to see all rules at once. Need to manually keep track of what you changed. Call API once to update all rules! Version control JSON file for quick roll back! Forced to do redundant API calls. Simplifies the rule update process and maintenance!
  • 78. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. https://go.aws/2xx2XT9
  • 80. WAF for your own good ! Step by step workshop Link : https://go.aws/2xx2XT9
  • 81. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. yijeong@amazon.com PLEASE don’t forget to take survey!!!