[AWS & 베스핀글로벌, 바이오∙헬스케어∙제약사를 위한 세미나] AWS 클라우드 보안

강정희 SA
AWS 클라우드 보안
보안 개요
AWS Solutions Architect

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
목차
1. AWS Security
2. AWS 책임 공유 모델
3. 사용자 및 접근 관리
4. 암호화
5. 감사지원
6. 네트웍 보안
7. AWS 보안 센터
8. HIPAA

1
AWS Security

클라우드 보안에 대한 여러분들의
생각은 어떠신가요?

기존 보안 방식의 한계
가시성 부족 낮은 수준의 자동화

OR비지니스
혁신
보안성 확보
기존에는…

ORAND
현재는…
비지니스
혁신
보안성 확보

AWS에서 운영되고 있는 민감한 워크로드
“DNAnexus는 안전하고 규정에 따르는 환경에서 게놈 분석 및 임상
연구를 수행할 수 있는 플랫폼을 AWS를 통해 전 세계 기업에
제공할 수 있었습니다.”
— Richard Daly, CEO DNAnexus
“보안을 강화하기 위해 AWS 보안에 의지할 수 있다는 사실은
우리 비즈니스에 매우 중요한 요소입니다. AWS는
데이터센터에서 케이지로 시스템을 보호하는 기존 방식보다
훨씬 안전합니다.”
— Richard Crowley, Director of Operations, Slack
“AWS의 보안은 패치, 암호화, 감사, 로깅, 지원 정책 및 규정 준수 등
다양한 면에서 온프레미스 데이터센터보다 우수하다는 결론을
얻었습니다.”
—John Brady, CISO, FINRA (Financial Industry Regulatory Authority)

“기업의 CIO와 CISO는 클라우드 보안에 대한 우려를
중단할 필요가 있습니다. 대신에, 클라우드 환경에서
운영되는 리소스 제어에 대한 새로운 접근법의 개발에
상상력과 에너지를 적용해서, 유비쿼터스 컴퓨팅
모델의 이점을 안전하고 규제를 준수하며 신뢰할 수
있게 활용해야 합니다.”
출처: Clouds Are Secure: Are You Using Them Securely?

통합된 보안
서비스를 활용한
자동화
글로벌 수준의 보안
적용과 규정 준수
높은 수준의 개인
정보와 데이터 보안
최대 규모의 보안
파트너 및 솔루션
네트워크
뛰어난 가시성과
통제를 수반한
확장
AWS로 전환하여
보안 상태 강화

글로벌 수준의 보안 적용과 규정 준수

AWS Key Management
System (KMS)에서
관리하는 키를 사용하거나,
FIPS 140-2 Level 3으로
검증된 Cloud HSM을
사용합니다. 이를 통해
자신이 소유한 암호화 키를
직접 관리하여 대규모
암호화를 수행합니다.
사용자가 AWS 리전을
선정하여 데이터 거주
요건을 충족합니다.
사용자가 데이터를 직접
다른 곳으로 전송하지
않는다면, AWS는 해당
리전에 위치한 데이터를
다른 리전으로 복제하지
않습니다.
AWS상에서 규제를
준수하는 인프라를
구축할 수 있도록 서비스와
도구에 액세스할 수
있습니다.
콘텐츠, 라이프사이클
관리와 폐기 등 접근 권한을
관리하여 해당 국가/지역 의
개인 정보 보호법을
준수합니다.
개인정보를 위한 높은 수준의 보안

통합된 보안 서비스를 활용한 자동화
CloudWatch Events
Amazon
CloudWatch
CloudWatch
Event
Lambda
Lambda
Function
AWS Lambda
GuardDuty
Amazon
GuardDuty
자동화된 위협 대응/조치

인프라 보안 로깅 및 모니터링계정 및 접근 제어 구성 및 취약점 분석
Data
protection
최대 규모의 보안 파트너
및 솔루션 네트워크
인프라 보안

보안
엔지니어링
거버넌스와 위험,
규정 준수
보안 운영 및 자동화
입증된 전문성을 갖춘
컴피턴시 컨설팅 파트너
보안
엔지니어링

AWS에서 보안은 최우선 순위의 과제입니다.
AWS의 모든 고객들은 가장 보안 요건이
까다로운 고객들을 만족시킬 수 있게 구축된
데이터 센터와 네트웍 아키텍쳐의 안전함을
이용하실 수 있습니다.

2
AWS 책임 공유모델

AWS 책임 공유 모델
시설
물리적 보안
컴퓨팅 인프라
스토리지 인프라
네트웍 인프라
가상화 레이어 (EC2)
강화된 서비스 엔드포인트
많은 IAM 기능들
네트웍 구성
보안 그룹
OS 방화벽
운영체제
어플리케이션
적절한 서비스 구성
인증 및 계정 관리
인가 정책
+ =
Customer
.
• AWS가 제공하는 책임 공유 모델의 타입에 따른 책임범위: Infrastructure, Container,
Abstracted Services
• 데이터와 시스템에 대한 안전에 관해 누가 무엇을 책임 질 것인가를 이해하는 기준!

AWS 책임 공유 모델 – Infra. Service
고객 자료
플랫폼 및 어플리케이션 관리
운영체제, 네트웍, 방화벽 설정
클라이언트 측 데이터
암호화 및 데이터 무결성
인증
네트웍 트래픽 관리
암호화/무결성/인증
서버 측 데이터 및 파일
시스템 암호화
고객IAM
AWS
엔드포인트
AWSIAM
네트워킹
데이터베이
스
스토리지컴퓨팅
엣지
로케이션
가용 영역리전
AWS 글로벌 인프라 구조
핵심 서비스
EC2기반, EBS,
AutoScaling, VPC

AWS 책임 공유 모델 – Infra. Service
• 기반 서비스 – 네트워킹, 컴퓨팅, 스토리지
• AWS 글로벌 인프라
• AWS API 엔드포인트
AWS
• 고객 데이터
• 데이터 보안(전송중, 저장시, 백업)
• 고객 애플리케이션
• 운영체제
• 네트웍 & 방화벽
• 인스턴스 관리
• 고가용성, 스케일링
• 고객측 IAM (온프레미스 디렉토리 서버)
• AWS IAM (사용자, 그룹, 역할, 정책)
Customers

AWS 책임 공유 모델 – Container Service
Customer Data
Client-side data encryption & data
integrity authentication
Network traffic protection
encryption / integrity / identity
Optional – Opaque data: 0s and 1s (in transit/at rest)
Customer
IAM
AWS
Endpoints
AWSIAM
NetworkingDatabasesStorageCompute
Edge
Locations
Availability
Zones
Regions
AWS Global
Infrastructure
Foundation
Services
Platform & Application Management
Firewall
Configuration
Operating system & Network Configuration
RDS, EMR, Elastic
Beanstalk,…

AWS 책임 공유 모델 – Container Service
• 운영체제
• 플랫폼/ 애플리케이션
AWS
• 데이터 보안(전송중, 저장시, 백업)
• 방화벽 (VPC)
• 고객측 IAM (DB 사용자, 테이블 퍼미션)
Customers

AWS 책임 공유 모델 – Abstract Service
Customer Data
Client-side data encryption & data integrity
authentication
AWS
Endpoints
AWSIAM
NetworkingDatabasesStorageCompute
Edge
Locations
Availability
Zones
Regions
AWS Global
Infrastructure
Foundation
Services
Optional – Opaque data: 0s
and 1s (in transit/at rest)
Client-side data encryption provided by the
platform protection of data at rest
Network traffic protection provided by the platform
protection of data in transit
Platform & Application Management
Operating system, network, and firewall configuration
S3, DDB, Glacier,
SQS, SES,…

AWS 책임 공유 모델 – Abstract Service
AWS
• 데이터 보안 (저장시– CSE)
Customers
• 운영체제
• 플랫폼/ 애플리케이션
• 데이터 보안 (저장시 - SSE, 전송중)

AWS 책임 공유 모델 – Summary
고객측 IAM
AWS IAM
방화벽 설정(S/G, NACL)
데이터
AWS IAM
데이터
어플리케이션
운영체제
네트워킹/방화벽
데이터
고객측 IAM
AWS IAM
Infrastructure
Services
Container
Services
Abstract
Services

AWS가 담당하는 부분
데이터 센터의 물리적 보안
• 아마존은 다년간 대규모 데이터 센터를 구축해 오고 있습니다.
• 중요 속성:
– 강력한 경계선 통제(perimeter controls)
– 엄격한 물리 접근 통제.
– 2개 이상 레벨의 멀티 팩터 인증 적용.
• 최소한의 방문 목적 허용.
• 모든 접근에 대한 로깅과 감사.
• 명확한 직무분장.
– 데이터 센터 직원들은 물리적인 접근 권한과 논리적인 접근권한을 동시에 갖지 못함.

• 대부분의 변경작업은 고객에 대한 영향을 최소화 하는 방식으로 진행됨.
• 변경에 대한 인가, 로깅, 테스팅, 승인과 문서화.
• 모든 변경 예정 내역에 대해 이메일 등을 통해 고객과 투명하게 의사소통.
• 서비스 헬스 대쉬보드 (http://status.aws.amazon.com/) : 영향을 받을 만한 잠재적인 이벤트들 노출됨.
변경 관리
• 확장성 있고 장애 대비한 서비스들.
• 모든 데이터 센터(AZs)들이 항상 가용함.
• 동일한 규격으로 관리
• 확고한 인터넷 연결성
• 각 AZ 는 멀티플 티어 1 ISP 서비스 제공자를 가짐
• 복원력 있는 네트웍 인프라
지속적인 가용성 제공

EC2 보안
• 호스트 운영체계
• AWS 운영자들은 개인별 SSH키와 bastion host를 통해 접근.
• 모든 접근에 대한 로깅과 감사.
• 게스트(인스턴스) 운영체계
• 고객이 통제 (고객이 루트/어드민 계정을 소유)
• AWS 운영자는 로그인 불가
• Stateful 방화벽
• Layer 4, 디폴트 deny 모드.
• 고객이 직접 보안그룹 설정 관리.
네트웍 보안
• 자체 설계된 표준화 제품 사용
• IP Spoofing이 호스트 O/S레벨에서 차단됨.
• Packet sniffing이 하이퍼바이져 단에서 차단됨.
• 허가되지 않은 포트 스캐닝 시, 서비스 중단 사유로 보고 블락 처리.
• IP 주소 체크섬, 비정상 TCP 플래그 체크, UDP 페이로드 길이 체크, DNS 요청 헤더 검증.

디스크 관리
• 독자적인 디스크 관리 기능을 통해 타인의 데이터에 접근할 수 없도록 통제.
• 사용 전 디스크 청소(Disk wiping).
• 디스크는 고객이 직접 암호화를 적용할 수 있음.
스토리지 디스크 사용해제 (Decommissioning)
• 모든 스토리지 디바이스들은 다음 기준에 따라 해제 처리됨:
• DoD 5220.22-M (“National Industrial Security Program Operating Manual “).
• NIST 800-88 (“Guidelines for Media Sanitization”).
• 궁극적으로 모든 디바이스들은:
• Degaussed.
• 물리적으로 파쇄.

AWS가 담당하는 부분에 대한 주요 규제/표준을
준수합니다.

AWS Data Center
Digital Tour
https://aws.amazon.com/ko/compliance/data-center/

책임 공유 모델에 대한 이해
AWS의 책임? 혹은 고객의 책임?
EC2리눅스 인스턴스
별로 어떤 포트를
오픈할 것인지
설정하기
S3버킷에 서버 측
암호화 기능을
적용하기
최신 보안 패치를
운영체제에 적용하기
데이터 센터의 물리적
시설을 감시하기 위한
카메라 시스템
구축하기데이터센터를 벗어나는
디스크들을
파쇄처리하기
하이퍼바이져
레벨에서 패킷 스니핑
예방하기
AWS 데이터 센터의 내부
네트웍을 안전하게
보호하기
1
2
3
4
5
6
7

3
사용자 및 접근 관리

AWS 상의 AAA
Authenticate
아이디/패스워드
Access Key
(+ MFA)
Federation
Authorize
IAM 정책
Audit
CloudTrail

운영체제 / 플랫폼 사용자
• Identities: 개발자, DevOps, 시스템 엔지니어
어플리케이션 사용자
• Identities: 어플리케이션 사용자, 어플리케이션 운영자
사용자 분류
Amazon Web Services 사용자
• Identities: 개발자, DevOps엔지니어, 테스터, 소프트웨어/플랫폼
• AWS Identities 간의 상호작용:
• EC2인스턴스와 EBS 스토리지 의 프로비져닝/디프로비져닝.
• Load Balancer 구성.
• S3 객체 나 DynamoDB 데이터에 대한 접근.
• SQS 큐와의 상호작용.
• SNS notification 전달.

AWS Principals
Account Owner ID (Root Account)
• 모든 서비스에 대한 접근.
• 빌링 접근.
• 콘솔과 API에 대한 접근.
• 고객 지원(Customer Support)에 대한 접근.
IAM Users, Groups and Roles
• 특정 서비스에 대한 접근.
• 콘솔, API에 대한 접근.
• 고객 지원(Customer Support)에 대한 접근(Business and Enterprise).
Temporary Security Credentials
• 특정 서비스에 대한 접근.
• 콘솔, API에 대한 접근.
Note: MFA상시연계와 안전한 장소에 보관할
것을 권장!

AWS 사용자 인증
인증 : 당신의 신원을 확인하는 방법은?
AWS 관리 콘솔
Username /
Password
MFAToken
(Recommended)
Signed URL (Token)
API
MFAToken
(Optional)
Access/Secret
Key(s)
Temporary
Access/Secret
Key(s)
Note: It is recommended to delete Root Access Keys.
AWS does not store/retain your Secret Keys.

LDAP 디렉토리
Identity and Access Management
User DB
어플리케이션과 운영체제에 대한 일반적인 접근
로컬 자격증명 저장소 활용
AWS
Directory Service
도메인 컨트롤러
• VPN등을 통한 온프레미스 네트웍 연계.
• AWS쪽에 복제 (read-only or read/write)
• Federated (one-way trusts, ADFS).
• AWS Directory Services를 통한 관리형
디렉토리 환경.
• 로컬 Password (passwd) 파일
• 로컬 윈도우 관리자 계정
• 사용자 데이터 베이스

AWS 디렉토리 서비스
IAM Roles을 통한 AWS 콘솔
이용
관리형 Active Directory 서비스
온프레미스 기 사용자 정보와 연계
AWS 상의 어플리케이션
제공되는 디렉토리
AD Connector: 온프레미스 Active Directory와 연계.
Simple AD: Samba 4 기반의 관리형 AD 서비스.
Microsoft AD EE: Windows 2012 R2기반의 관리형 AD

AWS Organizations
멀티 어카운트 환경에 대한 정책기반 관리기
어카운트 간 AWS
서비스 이용에 대한
통제(OCP)
통합 빌링AWS 어카운트 생성
과정 자동화

AWS Single Sign-On
AD기반 IDP-SSO서비스
AWS 콘솔및 비지니스 어플리케이션에 대한 싱글 사인 온을 중앙 집중
관리하는 Cloud 기반 Single Sign-On (SSO) 서비스
복수개의 AWS
Account를 이용한
AWS 콘솔 접근을
중앙관리
쉽게 적용.기 운영중인
사용자 정보
저장소 활용
기타 비지니스
어플리케이션에 대한
SSO 접근 관리

4
암호화

Encryption.
전송 중 및 저장 시 데이터 보호.
자세한 정보가 담긴 백서 - http://d0.awsstatic.com/International/ko_KR/whitepapers/Compliance/AWS_Securing_Data_at_Rest_with_Encryption.pdf
전송 중 암호
HTTPS SSH
SSL/TLS
VPN
Object
저장 시 암호화
Object
Database
Filesystem
Disk

볼륨 암호화 EBS 암호화 Filesystem 도구
AWS
Marketplace/Partner
객체 암호화
S3 서버 측
암호화(SSE)
S3 SSE w/ 고객
제공 키
클라이언트 측
암호화
Database 암호화
Redshift
KMS
RDS
Postgre
KMS
RDS
MYSQL
KMS
RDS
ORACLE
TDE/HSM
RDS
MSSQL
TDE

AWS Certificate Manager
• Amazon CA가 발급한 신뢰할 수 있는 SSL/TLS인증서(DV인증서) 제공:
• Elastic Load Balancing, CloudFront distributions, API G/W, Elastic Beanstalk, CloudFormation
• AWS 기대효과
• 안전한 키페어 관리 및 CSR 과정 대체
• 갱신 및 배포 과정 대행
• 무료
• AWS 서비스들 과의 원활한 연계
• 도메인 네임
• 단일 도메인: www.example.com
• 와일드 카드: *.example.com
• 한장의 인증서로 10개까지 도메인 지원
• 제약조건
• 13개월짜리 발급 및 60일 전부터 갱신 가능
• DV용도로 제한 : EV, OV, 범용, 코드싸이닝, 메일암호화에 적용 불가
• 개인키 다운로드 불가
• 사용 알고리즘
• 공개키 : RSA 2048
• 서명 : RSA with SHA-256
• CRL 및 OCSP 지원
ACM 모범사례 : https://docs.aws.amazon.com/ko_kr/acm/latest/userguide/acm-bestpractices.html#best-practices-pinning

AWS Key Management Service
CustomerMaster
Key(s)
Data Key 1
Amazon
S3
Object
Amazon
EBS
Volume
Amazon
Redshift
Cluster
Data Key 2 Data Key 3 Data Key 4
암호화키를 안전하게 생성/보관/관리 해주는 관리형
서비스
중앙 집중 암호화 키 관리:
EBS S3 Redshift
AWS
SDK
AWS CloudTrail
KMSCryptographicDetails : https://d0.awsstatic.com/whitepapers/KMS-Cryptographic-Details.pdf
KMS Best Practices : https://d0.awsstatic.com/whitepapers/aws-kms-best-practices.pdf

AWS Key Management Service
Integrated with Amazon EBS

AWS CloudHSM
AWS
CloudHSM
AWS Administrator–
manages the appliance
You – control keys and
crypto operations
Amazon Virtual PrivateCloud
전용 하드웨어를 통해 데이터 보안 관련 컴플라이언스 규정 준수를 위한 Hardware
Security Module 어플라이언스에 대한 관리형 서비스암호화 키
• 고객 전용 키관리 인프라(HSM)
• Clustering, HA
• Autoscaling
• FIPS 140-2 L3
• 고객 사용 사례:
• Oracle TDE
• Setup SSL connections(SSL 가속)
• Digital Rights Management (DRM)
• Document Signing

5
감사 지원

AWS CloudTrail
로그를 제공하기 위해 AWS API 요청을 기록하는 웹서비스.
CloudTrail
콘솔 AWS
SDK
CL
I
S
3
AWS 파트너
네트웍
ElasticSearc
h
EMR/Redshift

AWS CloudTrail

AWS CloudTrail + Athena
CloudTrail 로그에 대한 Athena활용 분석(표준 SQL)

AWS CloudTrail + Athena
Athena로 CloudTrail 로그 분석하는 Blog
[Cases]
• Amazon EC2 security group 변경 조회
• Console Sign-in activity 조회
• Operational account activity
Link  https://aws.amazon.com/blogs/big-
data/aws-cloudtrail-and-amazon-athena-dive-
deep-to-analyze-security-compliance-and-
operational-activity/

AWS CloudWatch
AWS리소스와 AWS기반 어플리케이션에 대한 모니터링 서비스
로그 수집 및 모니터링
경보 설정 (변경에 대한 반응)
그래프 및 통계 수치 제공
메트릭 데이터 수집 및 추적
제공하는 기능
활용 케이스
어플리케이션 로그 수집 및 중요 이벤트 자동 대응
EC2인스턴스 오토스케일링
운영 상태 가시화 및 이슈 식별
CPU, Memory, Disk I/O, Network 모니터링
CloudWatch Logs / CloudWatch Events
CloudWatch Alarms
CloudWatch Dashboards
CloudWatch Metrics

AWS CloudWatch Events
중요 이벤트에 대한 대응 규칙 설정
Detect malicious API and automate response.
If trail.delete { trail.enable &
email.security_team}

AWS Inspector
• Agent 기반 - 어플리케이션 보안 수준 진단
• 보안 진단 결과 – 가이드 제공
• API를 통한 자동화
• Rule Package
• Common Vulnerabilities & Exposures
• CIS Secure Configuration Benchmarks
• Security Best Practices
• Runtime Behavior Analysis

AWS Inspector

AWS Config & Config Rules
• Config : AWS리소스의 변경사항을 추적하고 감사하는 서비스
• Config Rules : 해당 변경 사항이 기준 정책에 위반될 때, 대응 규칙
실행(경보, 차단 등 AWS Lambda활용).
변경된 리소스들
AWS Config
Config Rules
이력, 스냅샷
통지
API 접근
정규화
AWS Config는 다음 질문에 대한 해답을 드리는 일종의 렌즈역할을 합니다
 나의 리소스들이 시간이 흐르면서 어떤식으로 설정되어 지고 있는가?

AWS Config

AWS Config Rules
Config Rules Git hub 저장소:
https://github.com/awslabs/aws-config-rules
Config Rules – Managed Rule

Amazon Macie
데이터 분류
자연어 처리 기술 (NLP)
데이터 접근에 대한 이해
Machine Learning

Trusted Advisor

6
네트웍 보안

AWS Cloud 내에 격리된 사설 네트워크를 생성
AvailabilityZoneA
AvailabilityZoneB
AWS Virtual Private Cloud
• 논리적으로 분리된 일종의
가상 사설망을 제공
• VPC상에서 사설 IP대역을
선택
• 적절하게 서브넷팅하고 EC2
인스턴스를 배치
AWS network security
• AWS 는 IP Spoofing과 같은
레이어 2 공격을 차단.
• 소유하지 않은
EC2인스턴스에 대한 스니핑
불가
• 외부와의 모든 라우팅과
연결을 통제

VPC security
Route
Table
Route
Table
Internet Gateway Virtual Private Gateway
Virtual Router
VPC 10.1.0.0/16
1. Route Table
• Subnet 단위
2. Network ACL
• Subnet 단위
• Stateless
• Allow/Deny
• Rule # ordering
3. Security Group
• 인스턴스 단위 Attach
• Stateful
• Allow only
1
2
3

VPC 서브넷, 보안그룹, NACL
웹/어플
리케이
션 서버
DMZ 퍼블릭 서브넷
ssh
bastion
사용자
관리자
인터넷
AmazonEC2
보안그룹
ELB
보안그룹
Managed NAT
보안그룹
frontend 프라이빗 서브넷
TCP:8080
Amazon EC2
securitygroup
TCP:
80/443
backend 프라이빗스브넷
TCP: 1433; 3306
MySQL
MySQL
securitygroup
TCP: Outbound
TCP:22

VPC Flow Log
• Amazon EC2 인스턴스의 트래픽 패턴 제공
• Amazon CloudWatch로 데이터 공급
https://aws.amazon.com/blogs/aws/vpc-flow-logs-log-and-view-network-traffic-flows/
누가 = SourceIP
언제 = Start/EndTime
어느 서비스 = Destination IP/ENI
어떤 포트로 = Destination Port 얼
만큼의 트래픽이 = Bytes/Packets
접속시도 결과 =Accept/Reject

VPC Flow Logs
• Agentless
• Netflow 와 유사
• ENI당, subnet당, VPC당 활성화
• AWS CloudWatch Logs에 로깅
• CloudWatch 메트릭 생성하고 Alarm설정
AWS
Account
ID
Source IP
Destination IP
Source port
Destination port
Interface IANA Protocol # Packets
Bytes Start/end time(unix time)
Accept
or reject
Blog : How to Visualize and Refine Your Network’s Security by Adding Security Group IDs to Your VPC Flow Logs
https://aws.amazon.com/ko/blogs/security/how-to-visualize-and-refine-your-networks-security-by-adding-security-group-ids-to-your-vpc-flow-logs/#more-3559

Serverless architecture for analyzing VPC Flow Logs
Blog : Analyzing VPC Flow Logs with Amazon Kinesis Firehose, Amazon Athena, and Amazon QuickSight
https://aws.amazon.com/blogs/big-data/analyzing-vpc-flow-logs-with-amazon-kinesis-firehose-amazon-athena-and-amazon-quicksight/

VPG, Direct Connect
AWS
AWS
Direct
Connect
고객
DC
기업용
App
빅
데이터
분석
개발/
테스트
기업용
App
AWS
Internet
VPN

AWS WAF
WEB/WAS
www.a.com
CloudFront edges
사용자
Safe
Traffic
EdgeLocation
EdgeLocation
WAF
WAF
해커
악성 봇
적법 접근
SQL 인젝션,
XSS, ..
WEB/WAS
WAF
Classic ELB
Application Load
Balancer
사용자
적법 접근

Standard Protection Advanced Protection
추가비용 없이 모든 AWS
고객에게 적용됨
추가적인 보호와 기능 및
잇점을 제공하는 비용 기반
서비스.
AWS Shield

상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호
AWS Shield Advanced

AWS GuardDuty

필요에 따라 다양한 솔루션들을 선택하실 수 있습니다.
인프라 보안 로깅 모니터링 계정 및 접근제어 구성 및 취약점 제어 데이터 보호
Saa
S
Saa
S
Saa
S

심층적 보안
AWS 컴플라이언스
프로그램
제 3 자 감독
물리적
환경
보안 그룹
VPC 구성
네트웍
웹 방화벽
Bastion Hosts
통신 중 암호화
강화된 AMI
패치관리
IAM Role
IAM 자격증명
시스템보안
논리적
접근제어
사용자 인증
데이터보안

7
AWS 보안 센터

AWS 보안 센터
다양한 보안 정보 및 문서를 제공하는 AWS 보안 포털: http://aws.amazon.com/ko/security/
보안 백서
• 보안 프로세스 소개
• AWS 리스크 및 컴플라이언스
• AWS 보안 베스트 프랙티스
보안 리소스 취약점 리포팅
침해 테스팅
신청 절차
Report Suspicious
Emails
보안 게시판

보안 리소스 및 블로그
https://aws.amazon.com/ko/blogs/korea/category/security/
AWS 보안 블로그AWS 보안 백서
https://aws.amazon.com/ko/blogs/korea/ko-whitepapers/

AWS Assurance Program
http://aws.amazon.com/ko/compliance/pci-data-privacy-protection-hipaa-soc-fedramp-faqs/

8
HIPAA

HIPAA
https://aws.amazon.com/ko/compliance/hipaa-compliance/

AWS Quick Starts
https://aws.amazon.com/quickstart/

HIPAA on AWS : Quick Starts
https://aws.amazon.com/ko/quickstart/architecture/accelerator-hipaa/

“기존에는 서버의 구성과 업데이트를 수작업으로 진행하거나 제한된 자동화로 진행되었고, 구성 관리의
장점을 최대한 활용하지 못했습니다. 하지만, 지금은 모든 서비스가 도커 컨테이너로 구축되었고, Amazon
ECS를 사용하여 손쉽게 배포하고 확장할 수 있는 환경이 되었습니다.
그리고, 우리는 12개월도 안되는 기간 내에 - HIPAA 규제를 준수하며 - AWS 클라우드로 100%
마이그레이션을 하였고, 이를 통해 월 600만 명의 환자를 처리하도록 비즈니스를 확장하고 보안 수준을
높일 수 있었습니다.”
• 12개월 이내에 AWS로 올인하여 전환하였고, HIPAA
규정을 준수한 조직이 되었습니다.
• 뉴욕에 본사를 둔 스타트업으로, 한 달에 600만 명의
환자를 수용할 수 있도록, ‘코드화된 인프라’를
활용하여 확장하였습니다.
• 데이터 분석 – 데이터를 사용하여 환자를 위한 더
많은 솔루션을 혁신하고 추진하여 환자의 대기
시간을 24일에서 24시간으로 단축하였습니다.
• AWS를 사용하여 환자의 데이터에 대해 엔드투엔드
가시성을 유지합니다.
온라인 의료 스케쥴링

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
감사합니다.
https://aws.amazon.com/security/
https://aws.amazon.com/compliance/
완료

9
보안 항목 별 맵핑

분류 항목
솔루션 맵핑
AWS 파트너
네트워크
구성
DMZ망, 서버/DB망, 관리
망 네트워크 분리
• 망분리: VPC & subnet
• IDC 연계: Direct Connect, VPN
• Private채널: Private Endpoint
• VDI : Workspace
• BP : Multi-VPC, Multi-Accounts
• Overlay Network : VNS3, Stealth
• VDI : CGX 3D Desktop, vDesktop
• WAN가속기
네트워크
접근통제
DMZ망, 서버/DB망, 관리
망 접근통제 정책 준수
• 관리망: Bastion Host
• DMZ망(outbound): NAT G/W
• 서버/DB망: NACL, Security Group
• 라우팅 통제: Routing table, Peering, DHCP
• 인터넷 통제: Internet G/W
• Private 채널 통제: Endpoint Policy
• RDS 접근제어 : RDS S/G, Oracle Label Sec,
• 서버 접근제어: iGRIFFIN, HI-WARE
• DB접근제어: Charkra MAX, DB Safer, Database Securit
y and Compliance, Hexatier, SecureSphere DB F/W
클라우드 내 서버/DB와 회
사망 간 암호화 통신
• VPN연결
• 서버간 TLS 연결
• VPN : CSR 1000V, vSEC, SteelConnect, CloudVPN, Op
enVPN
• 서버간 암호화 통신 : Stealth
서버-클라이언트간 중요
정보 암호화
• 무료인증서 발급: Certificate Manager
• CDN(CloudFront)-PC간 HTTPS암호화
• L4(ELB)-PC간 HTTPS, L7(ALB)-PC간 HTTPS
• RDS-Client간 SSL
• N/A
접근통제 정책의 주기적인
점검
• 접근 통제 정책(VPC S/G NACL Rule)점검 : Tiros
(Private Beta)
• 구성오류 점검: Trusted Advisor, Config, Config Rules
• 서버 접근제어: iGRIFFIN, HI-WARE
• DB 접근제어: Charkra MAX, DB Safer, Hexatier, Secure
Sphere DB F/W
• VPC Security Group Rule관리: SecOps

분류 항목
솔루션 맵핑
AWS 파트너
보안점검
서비스 오픈 前 / 리뉴얼
後 보안검증제 수행
• 어플리케이션 보안 점검: Inspector, Inspector Rule
패키지
• N/A
체크리스트/모의해킹 정
기적인 수행
• 침투테스트 사전 승인 • 사전승인된 스캐너
보안관제
웹해킹 관제 (365*24) • N/A
• 원격관제: 안랩, 인포섹, Cloud Defender
• 웹쉘 모니터링: ShellMonitor,Anti-WebShell
DDoS 관제 (365*24) • AWS Shield
• DDoS툴: Incapsula, aiProtect
• DDoS툴 포함 관제: IndusGuard Premium
방화벽 구성
• 방화벽: NACL, NACL 권장 규칙, Security Group
• 방화벽 로그: VPC Flow Logs
• PaloAlto NGFW, CheckPoint vSEC, Barracuda NGFW, Fo
rtiGate-VM, Junipher vSRX
IPS/IDS 구성 • IDS : Guard Duty • DeepSecurity, vSEC, CyberMethod, PCS, Sophos UTM
웹방화벽 구성 • WAF
• CloudBric, Wapples, WIWAF, Barracuda WAF, SecureSph
ere WAF AV1000
• IP Reputation : Spamhaus, ProofPoint, Tor
운영관리 사용자 접근권한 통제
• AWS user: IAM, RBAC, IAM정책예제
• App, O/S User: ActiveDirectory, Instance AD-Join,
SSH, RDP
• MFA
• 토큰 서비스: STS
• SSH Key관리 : OpsWorks Stack
• IAM: IAM for AWS
• 권한Attestation: Saviynt
• SSO: OneLogin, OKTA, ClearLogin
• MFA: M-PIN
• SSH Key관리 : CyberArk, Userify

분류 항목
솔루션 맵핑
AWS 파트너
운영관리
로그 확보/감사추적
• 관리 이벤트 로깅 : AWS CloudTrail
• IAM logging, KMS 키관리 관련 로깅
• Bastion Logging, EC2 SM Run command Logging
• Log collecting: CloudWatch Logs(RDS-MySQL, Maria)
• Log format: CloudTrail, ELB, CloudFront, VPC Flow Lo
gs, S3, ALB
• 모니터링 및 메트릭 : CloudWatch, CloudWatch Metrics
• RDS 감사/로깅 : Postgre, MySQL, MariaDB, MS-SQL,
Aurora, Oracle
• 기타 : Redshift,
• SIEM: Splunk, AlertLogic, FortiAnalizer-VM
• Forensic : SumoLogic, Margarita Shotgun, AWS_IR
관리포털 계정 및 인증절
차 관리
• AWS user: IAM, RBAC
• AWS IAM 모범사례
• Federation: console, console Proxy, SAML2.0, Mobile
• IDP-SSO : AWS SSO
• MFA: console
• RDS DB user 인 증 : MS-SQL/AD, MySQL/IAM,
Aurora/IAM,
• SSO: OneLogin, OKTA, ClearLogin
백신 소프트웨어 설치 • N/A
• AV/Malware: Symantec Protection Engine, Sophos Cl
oud, MDS service
OS 보안설정 및 최신패
치 적용
• AMI
• EC2원격관리: Systems Manager
• AMI 카탈로그 관리: Service Catalog
• 구성오류, 취약점 점검: Inspector
• AMI Security: ProtectV, CloudPassage
• Container Security : ECS container security, Auqa
Container Security Platform
• Secure O/S: SteelCloud RHEL, Sophos SecureOS, G
oldDisk Win2012 / Win2008, CIS Benchmark list
• Vulnerability: Evident.io, SecOps

분류 항목
솔루션 맵핑
AWS 파트너
운영관리
가상호스트 삭제 시 중요
데이터 완전삭제
• 고객키로 암호화 후 디스크 볼륨 삭제: 고객키 업로딩.
• CLI wiping
• Wiping: Secured Ultra Defrag, CloudBerry
개인정보/중요정보 암호
화
• KMS를 이용한 암호화
• HSM: CloudHSM
• Repository 암호화 : EBS, S3, RDS, RedShift, Dynamo
DB , S3 Inventory
• RDS 암호화 : Oracle TDE, MS-SQL TDE,
• DLP : Macie
• VDI : Workspace
• DB암호화: D’Amo, Petra, Vormetric, Oracle EE TDE,
MS-SQL EE TDE, mySQL EE TDE
• Masking : CloudMask, Greensql, Hexatier, DgSecure
• 이메일 보안: Message Archiver, Email Security G/W
• DLP : Endpoint Vault
• VDI : CGX 3D Desktop, vDesktop
• DRM : SignNow, ExpressPlay, Adobe MediaServer5,
Pallycan Multi-DRM
정기적 백업
• 백업용 서비스들: S3, Amazon Glacier
• WORM설정 : Vault Lock
• Retention policy
• Backup&Archive제품들

[AWS & 베스핀글로벌, 바이오∙헬스케어∙제약사를 위한 세미나] AWS 클라우드 보안

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a [AWS & 베스핀글로벌, 바이오∙헬스케어∙제약사를 위한 세미나] AWS 클라우드 보안

Semelhante a [AWS & 베스핀글로벌, 바이오∙헬스케어∙제약사를 위한 세미나] AWS 클라우드 보안 (20)

Mais de BESPIN GLOBAL

Mais de BESPIN GLOBAL (20)

[AWS & 베스핀글로벌, 바이오∙헬스케어∙제약사를 위한 세미나] AWS 클라우드 보안