책임공유환경 (shared-responsibility)
AWS와 사용자가 책임을 공유한다는 의미
책임공유환경 (shared-responsibility)
AWS와 사용자가 책임을 공유한다는 의미
AWS가 지는 책임
자동화된 모니터링 시스템과 DDOS 공격을 방지하는 강력한 인터넷 접근 감시를 통한 네트워크 보호
민감한 영역에 접근했던 직원에 대한 뒷조사 수행
수명이 다한 스토리지 디바이스를 물리적으로 파기함으로써 장치 해제
데이터센터의 물리적, 환경적 보안 보장 (화재 예방, 직원 보안 등)
자동화된 모니터링 시스템과 DDOS 공격을 방지하는 강력한 인터넷 접근 감시를 통한 네트워크 보호
민감한 영역에 접근했던 직원에 대한 뒷조사 수행
수명이 다한 스토리지 디바이스를 물리적으로 파기함으로써 장치 해제
데이터센터의 물리적, 환경적 보안 보장 (화재 예방, 직원 보안 등)
보안 표준
제3자의 의해 검토
제3자의 의해 검토
사용자의 책임
공격자가 데이터를 읽거나 조작하는 것을 방지하기 위해 네트워크 트래픽 암호화하기 (예 : HTTPS)
트래픽을 보안 그룹과 ACL로 제어하는 VPN의 방화벽 구성하기
가상 서버의 OS와 추가 스프트웨어에 대한 패치 관리
IAM을 활용하여 S3나 EC2 같은 AWS 자원으로의 접근을 최소화한으로 제한하는 접근 관리 구현
공격자가 데이터를 읽거나 조작하는 것을 방지하기 위해 네트워크 트래픽 암호화하기 (예 : HTTPS)
트래픽을 보안 그룹과 ACL로 제어하는 VPN의 방화벽 구성하기
가상 서버의 OS와 추가 스프트웨어에 대한 패치 관리
IAM을 활용하여 S3나 EC2 같은 AWS 자원으로의 접근을 최소화한으로 제한하는 접근 관리 구현
소프트웨어 업데이트
보안 업데이트 확인
SSH로 아마존 리눅스 EC2 인스턴스 로그인
오늘의 메시지 표시 확인 (예 : 3 package(s) needed for security, out of 28 available)
SSH로 아마존 리눅스 EC2 인스턴스 로그인
오늘의 메시지 표시 확인 (예 : 3 package(s) needed for security, out of 28 available)
서버 시작시 보안 업데이트 설치
서버 시작시 모든 업데이트 설치
사용자 데이터 스크립트 추가 yum -y update
서버 시작시 보안 업데이트만 설치
사용자 데이터 스크립트 추가 yum -y --security update
명시적으로 패키지 버전 정의
버전 넘버로 구별하여 업데이트만 설치
서버 시작시 모든 업데이트 설치
사용자 데이터 스크립트 추가
yum -y update
서버 시작시 보안 업데이트만 설치
사용자 데이터 스크립트 추가
yum -y --security update
명시적으로 패키지 버전 정의
버전 넘버로 구별하여 업데이트만 설치
실행 중인 서버에 보안 업데이트 설치
서버 수가 적다면 일일히 로그인하여 실행 할 수 있겠지만 서버 수가 많다면 불가함
서버의 목록을 얻고 그들 모두를 대상으로 보안 업데이트를 하도록 하는 스크립트 작성 필요
서버 수가 적다면 일일히 로그인하여 실행 할 수 있겠지만 서버 수가 많다면 불가함
서버의 목록을 얻고 그들 모두를 대상으로 보안 업데이트를 하도록 하는 스크립트 작성 필요
AWS 트래픽 보안
기본 규칙
모든 인바운드 트래픽은 거부
모든 아웃바운드 트래픽은 허용
여기에 인바운드 트래픽을 허용하기 시작
아웃바운드 트래픽에 대한 규칙 추가시 기본 설정은 모두 허용에서 모두 불허로 전환되고 추가 규칙만 예외적으로 허용됨
모든 인바운드 트래픽은 거부
모든 아웃바운드 트래픽은 허용
여기에 인바운드 트래픽을 허용하기 시작
아웃바운드 트래픽에 대한 규칙 추가시 기본 설정은 모두 허용에서 모두 불허로 전환되고 추가 규칙만 예외적으로 허용됨
보안 그룹
보안 그룹은 인스턴스와 같은 AWS 자원에 연결할 수 있어야 함
보안 그룹 규칙
방향 (인바운드 또는 아웃바운드)
IP 프로토콜 (TCP, UDP, ICMP)
출발지/목적지 IP 주소
포트
출발지/목적지 보안 그룹(AWS에서만 작용)
보안 그룹은 인스턴스와 같은 AWS 자원에 연결할 수 있어야 함
보안 그룹 규칙
방향 (인바운드 또는 아웃바운드)
IP 프로토콜 (TCP, UDP, ICMP)
출발지/목적지 IP 주소
포트
출발지/목적지 보안 그룹(AWS에서만 작용)
ICMP 트래픽 허용
ping을 허용하려면 ICMP(internet Control Message Protocol) 트래픽을 허용해야 함
기본적으로 모든 인바운드 트래픽이 차단되므로 ping도 실패함
보안 그룹에 인바운드 ICMP 트래픽을 허용하는 규칙을 추가해야 함
ping을 허용하려면 ICMP(internet Control Message Protocol) 트래픽을 허용해야 함
기본적으로 모든 인바운드 트래픽이 차단되므로 ping도 실패함
보안 그룹에 인바운드 ICMP 트래픽을 허용하는 규칙을 추가해야 함
SSH 트래픽 허용
포트 22 인바운드 TCP 요청을 허용하는 규칙을 ㅊ추가해야 함
https://s3.amazonaws.com/awsinaction/chapter6/firewall3.json
위 템플릿으로 CloudFormation 스택 업데이트
포트 22 인바운드 TCP 요청을 허용하는 규칙을 ㅊ추가해야 함
https://s3.amazonaws.com/awsinaction/chapter6/firewall3.json
위 템플릿으로 CloudFormation 스택 업데이트
CIDR example
10.0.0.0/0 : all
10.0.0.0/8 : 10.0.0.0 ~ 10.255.255.255
10.0.0.0/16 : 10.0.0.0 ~ 10.0.255.255
10.0.0.0/24 : 10.0.0.0 ~ 10.0.0.255
10.0.0.0/0 : all
10.0.0.0/8 : 10.0.0.0 ~ 10.255.255.255
10.0.0.0/16 : 10.0.0.0 ~ 10.0.255.255
10.0.0.0/24 : 10.0.0.0 ~ 10.0.0.255
바스티언 호스트 (bastion host, 점프 박스 jump box)
하나의 특정 서버만 SSH를 통해 접근할 수 있도록 하게 하는 것
하나의 특정 서버만 SSH를 통해 접근할 수 있도록 하게 하는 것
가상 사설 클라우드 (VPC, Virtual Private Cloud)
사설 네트워크망 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 범위 주소 사용 가능)
VPN 엔드포인트에 서브넷, 라우팅 테이블, 접근 제어 목록 및 게이트웨이를 만들 수 있음
적어도 2개의 서브넷은 있어야 함, 공용과 사설
공용 서브넷은 인터넷 경로
사설 서브넷은그렇지 않음
VPC는 주소 공간 10.0.0/16을 사용
사설 네트워크망 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 범위 주소 사용 가능)
VPN 엔드포인트에 서브넷, 라우팅 테이블, 접근 제어 목록 및 게이트웨이를 만들 수 있음
적어도 2개의 서브넷은 있어야 함, 공용과 사설
공용 서브넷은 인터넷 경로
사설 서브넷은그렇지 않음
VPC는 주소 공간 10.0.0/16을 사용
Reference
'Infra > AWS' 카테고리의 다른 글
| AWS - 가상 서버 사용 (0) | 2018.09.28 |
|---|---|
| AWS란? (0) | 2018.09.28 |
| AWS (Amazon Web Services) - 공부자료 (0) | 2018.09.02 |