AWS 보안

시스템 보안 : IAM, 보안 그룹, VPC

  • 책임공유환경 (shared-responsibility)

    • AWS와 사용자가 책임을 공유한다는 의미

AWS가 지는 책임

  • 자동화된 모니터링 시스템과 DDOS 공격을 방지하는 강력한 인터넷 접근 감시를 통한 네트워크 보호

  • 민감한 영역에 접근했던 직원에 대한 뒷조사 수행

  • 수명이 다한 스토리지 디바이스를 물리적으로 파기함으로써 장치 해제

  • 데이터센터의 물리적, 환경적 보안 보장 (화재 예방, 직원 보안 등)

보안 표준

사용자의 책임

  • 공격자가 데이터를 읽거나 조작하는 것을 방지하기 위해 네트워크 트래픽 암호화하기 (예 : HTTPS)

  • 트래픽을 보안 그룹과 ACL로 제어하는 VPN의 방화벽 구성하기

  • 가상 서버의 OS와 추가 스프트웨어에 대한 패치 관리

  • IAM을 활용하여 S3나 EC2 같은 AWS 자원으로의 접근을 최소화한으로 제한하는 접근 관리 구현

소프트웨어 업데이트

보안 업데이트 확인

  • SSH로 아마존 리눅스 EC2 인스턴스 로그인

  • 오늘의 메시지 표시 확인 (예 : 3 package(s) needed for security, out of 28 available)

서버 시작시 보안 업데이트 설치

  • 서버 시작시 모든 업데이트 설치

    • 사용자 데이터 스크립트 추가 yum -y update

  • 서버 시작시 보안 업데이트만 설치

    • 사용자 데이터 스크립트 추가 yum -y --security update

  • 명시적으로 패키지 버전 정의

    • 버전 넘버로 구별하여 업데이트만 설치

실행 중인 서버에 보안 업데이트 설치

  • 서버 수가 적다면 일일히 로그인하여 실행 할 수 있겠지만 서버 수가 많다면 불가함

  • 서버의 목록을 얻고 그들 모두를 대상으로 보안 업데이트를 하도록 하는 스크립트 작성 필요

AWS 트래픽 보안

기본 규칙

  • 모든 인바운드 트래픽은 거부

  • 모든 아웃바운드 트래픽은 허용

  • 여기에 인바운드 트래픽을 허용하기 시작

  • 아웃바운드 트래픽에 대한 규칙 추가시 기본 설정은 모두 허용에서 모두 불허로 전환되고 추가 규칙만 예외적으로 허용됨

보안 그룹

  • 보안 그룹은 인스턴스와 같은 AWS 자원에 연결할 수 있어야 함

  • 보안 그룹 규칙

    • 방향 (인바운드 또는 아웃바운드)

    • IP 프로토콜 (TCP, UDP, ICMP)

    • 출발지/목적지 IP 주소

    • 포트

    • 출발지/목적지 보안 그룹(AWS에서만 작용)

ICMP 트래픽 허용

  • ping을 허용하려면 ICMP(internet Control Message Protocol) 트래픽을 허용해야 함

  • 기본적으로 모든 인바운드 트래픽이 차단되므로 ping도 실패함

  • 보안 그룹에 인바운드 ICMP 트래픽을 허용하는 규칙을 추가해야 함

SSH 트래픽 허용

CIDR example

  • 10.0.0.0/0 : all

  • 10.0.0.0/8 : 10.0.0.0 ~ 10.255.255.255

  • 10.0.0.0/16 : 10.0.0.0 ~ 10.0.255.255

  • 10.0.0.0/24 : 10.0.0.0 ~ 10.0.0.255

바스티언 호스트 (bastion host, 점프 박스 jump box)

  • 하나의 특정 서버만 SSH를 통해 접근할 수 있도록 하게 하는 것

  • 유일하게 SSH 접속이 허용된 호스트

가상 사설 클라우드 (VPC, Virtual Private Cloud)

  • 사설 네트워크망 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 범위 주소 사용 가능)

  • VPN 엔드포인트에 서브넷, 라우팅 테이블, 접근 제어 목록 및 게이트웨이를 만들 수 있음

  • 적어도 2개의 서브넷은 있어야 함, 공용과 사설

  • 공용 서브넷은 인터넷 경로

  • 사설 서브넷은그렇지 않음

  • VPC는 주소 공간 10.0.0/16을 사용


Reference

  • AWS in Action


'Infra > AWS' 카테고리의 다른 글

AWS 보안  (0) 2018.09.29
AWS - 가상 서버 사용  (0) 2018.09.28
AWS란?  (0) 2018.09.28
AWS (Amazon Web Services) - 공부자료  (0) 2018.09.02

Leave a Comment


to Top