@AWS Security Guide
AWS의 Security ? 보안이란 ?
퍼블릭 클라우드(Public Cloud)를 많이 사용 하게 되면서 많이들 혼동을 한다.
보안은 AWS가 다 해주는거 아니야 ?? 사실 그렇지 않다.
보안의 범위를 제대로 알아야 한다.
보안을 오래 하지는 않았지만, 컨설팅이라는 것을 좀 해봤기 때문에
범위를 조금 정의 해보자면
- 물리 보안
- 데이터 보안
- 시스템 보안
- 네트워크 보안
- 어플리케이션 보안
이 것들 중에서 AWS 퍼블릭 클라우드(Public Cloud) 를 사용하기 때문에 물리보안은 신경 쓸 필요가 없다.
나머지 영역에 대해서는 퍼블릭 클라우드(Public Cloud)를 통해서 서비스를 구성 하는 사용자가 직접 챙겨야 한다.
물리 보안,
물리 보안은 사용자 입장에서는 신경 쓰지 않아도 된다.
AWS에서 책임져야 하는 부분이다. 전산센터(IDC)를 운영하거나 별도의 전산센터(IDC)에 물리 서버를 운영하고 있다면 챙겨야할 ISO27001, ISMS-P, PCI-DSS 등을 포함한 사항을 AWS에서 관리 하고 있다.
데이터 보안,
데이터 보안은 사용자가 직접 관리 하는 부분이고, 기본적으로 기업에서는 DB접근제어 솔루션과 암복호화 솔루션을 3rd Party 솔루션을 구매 해서 기존에 사용하고 있는 것을 퍼블릭 클라우드(Public Cloud)에 연속 해서 사용 하는 것이 제일 좋은 방법 이다.
앞서 물리 보안에서 언급 하였던, 각종 인증 심사 들의 물리 보안 영역을 제외 한 나머지 영역 과 개인정보 보호법이라고 하는 보호 대상에서는 솔루션을 사용 해야 하는 부분이 있기 때문에 쓰는 것이 좋은 방법 입니다.
이런 것들이 없다면 AWS에서 제공 해주는 데이터 관리 서비스는 가장 대표적으로는 CloudTrail과 KMS, Cloud HSM이 있습니다.
CloudTrail 서비스는 알면 알수록 잘 쓰면 잘 쓸수록 정말 좋은 기능이다. AWS Console 및 구성 하는 API 에서 제공 하는 Log를 포맷에 맞춰서 저장 해주는 서비스로 퍼블릭 클라우드(Public Cloud) 서비스인 AWS, GCP 등에서 제공을 해주는 가장 좋은 기능이고 필수적으로 써야 하는 기능이다. 그리고 KMS는 암호키를 생성 관리 하는 서비스 마지막으로 Cloud HSM, 자체 암호화 키를 손쉽게 생성 및 사용할 수 있도록 지원하는 클라우드 기반 하드웨어 보안 모듈(HSM)로 강력한 보안 안정성을 제공 해주는 서비스 라고 합니다.
시스템 보안,
이것도 역시 데이터 보안과 마찬가지로 기업에서는 꼭 필수적으로 관리 해야 하는 부분이고 3rd Party 솔루션을 통해서 많이 사용 한다. 그리고 이것도 역시 인증 심사에 필수적인 항목이다.
AWS에서 제공 하는 기능으로는 IAM, CloudWatch, Trusted Advisor, AWS Config 가 있다. 가장 기본적인 관한 관리와 리소스 모니터링을 해주는 기능 들인데 구성을 하기 위해서 내부 조직들 간에 협의가 많이 필요하다.
먼저 IAM은 AWS 계정의 접근제어와 권한 관리를 해주는 기능으로 AWS를 쓰기위한 웹콘솔 등을 접속 하기 위한 User 권한 등을 Key 관리를 하는 서비스이다.
AWS CloudWatch 는 리소스와 어플리케이션을 모니터링 할 수 있는 서비스로 기본적으로 제공 하는 것 외에 필요한 Log 들도 커스터마이징 해서 모니터링 할 수 있으며, 기본 5분은 무료로 데이터를 받을 수 있으며 5분 이하로 데이터를 받으려면 별도의 비용이 발생 하고 데이터를 저장 할 수 있는 저장소를 마련 해야 한다. 일부 상세한 모니터링 기능은 별도의 솔루션을 사용 해야 한다.(기존 Legacy 영역에서 필수로 지정 되어 있는 부분이 되지 않을 수도 있고 이것에 따라서 많은 협의가 필요 할수 있다.)
AWS Trusted Advisor는 AWS에서 권장 하는 모범? 사례에 대해서 점검 및 제안을 해주는 서비스로 비용, 보안, 효율성, 안정성 측면에서 체크를 해주는 서비스로 가장 기본적으로 확인하고 적용 하면 좋은 서비스이다. 하지만 여기서 나오는 사항을 전부 지킬 필요는 없으며 별도의 Process 또는 내부 절차를 통해서 관리가 된다면 별도 관리 해도 된다.
AWS config는 AWS 리소스 구성을 측정, 감사 및 평가할 수 있는 서비스로 리소스의 구성 내역 이력 관리 서비스 라고 쉽게 이해 하면 된다.
네트워크 보안,
기존 Legacy 영역과 가장 많이 차이가 나는 부분이고 많이 알아야 제대로 알아서 하는 부분이라고 생각 한다. AWS를 통해서 보안을 구성 하는 방법은 Security group, VPC NACL, VPC Flow logs, NAT gateway, AWS Certificate Manager 로 방화벽 기능이라고 보면 되고, 기존 Legacy의 네트워크 보안 영역의 IDS, IPS 부분은 GuardDuty와 연결 되지만 네트워크만 국한 되는 영역이 아니다.
Security group은 L4 방화벽 이라고 이해 하면 되고 EC2, RDS, ELB 영역에서 in/out bound port와 source를 제한 / 허용 하는 정책을 만들면 되지만 out bound는 Statefull 방식이기 때문에 기본 All allow 정책이다.
VPC NACL은 Subnet에 부여하는 방화벽으로 Security Group 앞단에 있는 방화벽이라고 보면 되고 Stateless 로 inbound / outbound 모두 설정 해야 한다.
VPC Flow Log는 네트워크 보안을 모니터링 할 수 있는 사항으로 관제 영역에서 필수로 봐야 하는 사항이고, VPC대역에서 발생하는 모든 접근 로그를 확인 할 수 있다. 운영 시 보안관제 시 필수적인 로그이며, 통신상 문제는 이 로그로 파악, 관리 하면 된다.
NAT Gateway는 외부에서 직접 접근 할 수 없는 Private Subnet 대역에 있는 대상들이 외부 인터넷으로 통신 하기 위해서 사용 하는 서비스로 일반적으로 필수 구성 되는 사항이다.
AWS Certificate Manager 는 인증서 서비스, SSL/TLS 통신을 하기 위한 인증서로 무료 제공으로 ELB와 Cloud Front에 설정 하는 인증서 서비스으로 보통 기업에서는 특정 공인 인증기관 서비스를 사용 해야 하는 경우가 있으니 내부 규정에 따라야 한다.
앞서 말했던 AWS GuardDuty, 인증 심사 등 IDS, IPS는 필수로 인정 되나 아직 AWS의 기능으로 인증 심사 항목을 만족 시키지 못하는 것 같다. 3rd Party 솔루션을 통해서 구성을 할 수 있지만 GuardDuty 만으로도 충분히 보안을 적용 할 수 있다. GuardDuty는 CloudTrail, CloudTrail S3, EKS 감사로그, VPC 로그, DNS 쿼리 로그 등을 통해서 위협을 탐지 하는 방식으로 이벤트 건별 비용이 발생 한다.
어플리케이션 보안,
어플리케이션에서 가장 쉽게 보안을 해결하는 방법은 웹방화벽을 사용 하는 것이다. 퍼블릭 클라우드(Public Cloud)를 사용하지 않고 기존과 동일하게 레거시(Legacy) 영역에 서비스를 구성 하더라도 웹방화벽을 사용하는게 가장 일반적인 방법이다.
퍼블릭 클라우드(Public Cloud) 중 AWS 에서는 AWS WAF와 shiled 를 적용 시켜 어플리케이션 보안을 해결 할 수 있다.
AWS WAF는 Web Application Firewall 웹방화벽으로써 SQL 인젝션, IP 차단 등 Web 취약점 공격을 차단 해주는 서비스 다.
AWS 상의 Cloud Front, ALB(Application Load Balancer), Amazon API Gateway에 설정 가능 하다.
WAF 차단 Rule은 각 서비스별로 서비스에 맞게 구성 해줘야 한다.
그냥 그대로 사용 했다가는 보안사고가 발생이 당연히 될꺼라고 생각 한다. 그래서 Custom Rule을 적용 해야 하는데, Rule 갯수, 요청 수를 기준으로 비용이 발생 한다.
그리고 어플리케이션 가용성을 지키기 위한 DDoS 공격을 보호 하기 위해서 AWS shiled 서비스를 사용 해야 한다.
이 서비스는 Standard와 Advanced 타입으로 구분이 되어 있는데, Standard는 AWS 사용 시 자동으로 활성화 되는 무료 서비스 인데 최소한 이정도는 적용을 하면 되지만 가용성이 정말 중요한 서비스라면 Advanced 를 써야 한다.
Standard는 AWS cloudfront, Route53애서 L3, L4레벨의 DDoS 공격을 보호 해주고 Advanced는 AWS EC2, ELB, S3, Cloudfront, Rout53 를 보호 받을 수 있다. L3, L4, L7 까지 DDoS 공격을 보호 받는 서비스고 24시간 관제까지 포함 되어 있다.
일반적인 사항과 인터넷에서 많이 보았던 사항과 일부 경험을 심플하게 정리 하였는데, 이렇게 작성을 해놓고 보니 .. 결국 보안도 비용과 관련된 사항이 많이 있고 정책적인 관리적인 내부 R&R에 많이 힘든 부분이 있다.
아직까지도 퍼블릭 클라우드(Public Cloud)를 사용함에… 많은 어려움이 있는 것 같다.
