[AWS] 클라우드 보안

클라우드 보안 그래서 뭔데?

• 보안이란?
  • 물리적, 기술적, 논리적 수단을 통해 특정한 자산, 시스템, 정보 또는 사람들을 위협, 위험, 침해로부터 보호하고 안전하게 지키는 것을 의미
• 클라우드 보안은?
  • 클라우드 환경을 기술적, 논리적 수단을 통해 위험과 침해로부터 보호하고 안전하게 지키는 것. 키워드로 4가지 정도 나열하겠다.

1. 데이터 보호
   • 클라우드에서 저장되고 전송되는 데이터는 암호화 및 접근 제어와 같은 보안 메커니즘으로 보호되어야 함
2. 인프라 보호
   • 클라우드 환경 = 가상화 ∴ 이러한 가상화된 환경을 보호하기 위해 여러 방면의 보안 조치가 필요함
3. 인증과 접근 제어
   • 사용자의 신원을 확인하고, 필요에 따라 적절한 권한을 부여하여 인가되지 않은 액세스로부터 리소스를 보호해야 함
4. 네트워크 보안
   • 클라우드 환경은 인터넷을 통해 접근되기 때문에 네트워크 보안이 매우 중요함

💡 클라우드 보안은 지속적인 모니터링과 관리를 필요로 하며, 클라우드 공급자와 고객은 협력하여 보안 책임을 공유하고 클라우드 환경에서 안전하고 신뢰할 수 있는 서비스를 제공하기 위해 노력해야 합니다.

보안과 모니터링은 한몸이다.

---

AWS 서비스 중 보안을 담당하는 서비스

1. IAM(Identity and Access Management)

• AWS 서비스와 리소스에 대한 액세스를 안전하게 관리할 수 있다. 또한, AWS 사용자 및 그룹을 만들고 관리하며 AWS 리소스에 대한 액세스를 허용 및 거부할 수 있다
• = 각 유저마다 서비스의 권한을 줄 수 있는 서비스

1-1. IAM 구성(사용자, 그룹, 정책, 역할)

1. 사용자

• 실제 AWS를 사용하는 사람 혹은 어플리케이션을 의미

1. 그룹

• 사용자의 집합
• 그룹에 속한 사용자는 그룹에 부여된 권한을 행사

1. 정책(Policy)

• 사용자와 그룹, 역할이 무엇을 할 수 있는지에 관한 문서
• JSON 형식으로 정의

1. 역할(Role)

• AWS 리소스에 부여하여 AWS 리소스가 무엇을 할 수 있는 지를 정의
• 다른 사용자 혹은 본인이 역할을 부여 받아 사용 가능
• 리소스에 대한 액세스 권한이 없는 사용자나 서비스에게 일시적으로 권한을 위임

IAM의 권한 검증

• 역할을 바꾸어가며 서비스를 사용 가능

💡 모든 것은 정책으로부터 결정된다. 정책은 사용자 혹은 그룹에 부여가 된다. 그룹 안에 있는 사용자들은 정책 공유가 가능. 역할에도 부여가 가능. 그리고 이 역할은 EC2, Lambda, Beanstalk 등 여러 서비스에 붙어서 서비스들이 무엇을 할 수 있는가 결정 가능

결론 : 정책이 언제 어디서 누가 어떻게 무엇을 할 지를 결정한다!

• 예시1

• 예시2

1-2. IAM 장단점

1. 장점

• 보안 강화 및 비용 효율성 : 최소한의 필요 권한 원칙을 적용하여 사용자들에게 필요한 권한만 부여함으로써 보안 강화 및 비용 효율성을 기대할 수 있다.
• 중앙 집중화 : 모든 사용자와 리소스의 액세스 권한을 중앙에서 관리할 수 있다(=관리가 용이하다)
• 쉬운 사용자 관리 : 새로운 사용자를 추가하거나 기존 사용자의 권한을 변경하고 제거하는 것이 간편하다. 그룹을 사용하여 효과적으로 관리 가능

1. 단점

• 복잡성 : IAM은 기능이 매우 다양하고 강력하므로 어려움이 있을 수 있음

2. AWS CloudTrail

• AWS 리소스의 API 활동을 모니터링하고 기록하여 보안 및 규정 준수를 지원하는 서비스
• CloudTrail은 AWS 계정에서 발생하는 모든 API 호출 활동을 자동으로 로그로 기록

2-1. CloudTrail 장단점

1. 장점

• 이벤트 알림 : CloudTrail은 Amazon SNS(Simple Notification Service) 등의 서비스와 통합하여 이벤트에 대한 알림을 설정할 수 있습니다. 이를 통해 신속하게 보안 위협에 대응할 수 있다
• 암호화와 안전성 : CloudTrail 로그는 안전한 S3 버킷에 저장되므로 데이터의 안정성과 무결성을 보장

1. 단점

• AWS 계정에서 발생한 지난 90일간의 활동만 확인할 수 있음.

cf) 90일 이후는 뭐 없나요? CloudTrail Lake를 사용하면 된다! (최대 7년 보유)

3. WAF(Web Application Firewall)

• 웹 애플리케이션이나 API를 웹 공격으로부터 보호하기 위한 웹 애플리케이션 방화벽
• 웹 애플리케이션 이라는 [집]을 외부의 공격으로부터 지켜내고 사전에 발견하지 못했던 내부의 위험 요소로부터 지켜내는 [중문] 역할을 수행하는 존재

3-1. WAF 장단점

1. 장점

• 웹 공격에 대비하여 민첩한 보안이 가능
• 실시간 감지 및 대응 : 이를 통해 웹 애플리케이션을 지속적 보호, 보안 사고를 최소화
• Customize 가능 : 사용자 정의 룰 생성 가능

1. 단점

• 복잡성 : 설정과 구성이 복잡할 수 있다
• 네트워크 대역폭 비용 증가 : 웹 요청 및 응답 데이터의 트래픽이 늘어날 수 있다

---

클라우드 모니터링(Cloud Monitoring)

• 모니터링?? 어떤 대상을 감시, 관찰하는 것 like CCTV
• 왜 감시, 관찰하는데?
• 모니터링의 목적은 지속적인 감시, 감찰을 통해 대상의 상태나 가용성,변화 등을 확인하고 대비하는 것

그러면 클라우드 모니터링은 뭘까? → 모니터링 개념에 클라우드를 합치면 된다

• 클라우드 모니터링은 클라우드 기반 IT 자산 또는 인프라 내에서 운영 및 프로세스를 검토, 모니터링 및 관리하는 프로세스입니다. 클라우드 인프라 또는 플랫폼이 최적의 성능을 발휘할 수 있도록 수동 또는 자동화 된 IT 모니터링 및 관리 기술을 사용

AWS 서비스 중 모니터링을 담당하는 서비스

1. CloudWatch

• Amazon CloudWatch는 AWS 리소스와 AWS에서 실시간으로 실행 중인 애플리케이션을 모니터링 하는 서비스
• 지표를 감시해 알림을 보내거나 임계값을 위반한 경우 모니터링 중인 리소스를 자동으로 변경하는 경보를 생성할 수 있다
• AWS 리소스 사용의 실시간 모니터링 기능 지원
• 다양한 이벤트들을 수집하여 로그파일로 저장

cf) CloudWatch 모니터링 종류

• Basic Monitoring(무료) : 5분 간격으로 최소의 Metrics 제공
• Detailed Monitoring(유료) : 1분 간격으로 자세한 Metrics 제공

1-1. CloudWatch 사용 case

• Use Case : 매일 얼마나 많은 사용자들이 모바일 앱을 사용하는지 알고 싶음
• Potential Issue : 특정날에 수많은 traffic이 몰릴 수 있어 병목현상이 생길 수 있음
• Solution : 매일 traffic rate과 특정 버튼의 유저 클릭 횟수를 분석하여 더 효율적인 앱개발을 할 수 있는 통찰력 얻을 수 있음

1-2. Namespace, Dimension, Metric, Statistics?

1. Namespace : 논리적으로 구분하기 위한 것
2. Dimension : 개별 or type 별 묶어서 보는 것 or 같은 그룹으로 묶어서 보는 것
3. Metric : 지표(CPU 점유율 등)
4. Statistics : 자원 사용률에 대한 평균, 최대, 최소 값

 

1-3. 장단점

1. 장점

• 다양한 데이터 수집 : CloudWatch는 서버의 CPU 사용률, 네트워크 트래픽, 디스크 I/O, 메모리 사용률 등 다양한 지표를 수집할 수 있다
• 경고 및 알림 : CloudWatch는 임계값에 도달할 때 경고를 생성하고 이를 이메일 또는 SNS(Simple Notification Service) 등을 통해 알림을 보낼 수 있다

1. 단점

• 실시간 모니터링 제한 : CloudWatch는 초당 수백 번의 API 호출에 의존하기 때문에 특히 초당 많은 메트릭을 빠르게 조회해야 하는 실시간 모니터링에는 적합하지 않을 수 있다
• 알림 지연: 경우에 따라 CloudWatch 경고 및 알림에 지연이 발생할 수 있다. 따라서 중요한 시스템에서는 추가적인 모니터링 솔루션을 사용하는 것이 좋을 수 있다

2. AWS Config

• AWS Config는 리소스의 구성 변경 사항을 추적하고 모니터링하는 서비스다. 변경 사항을 검토하고 리소스 구성의 일관성을 유지하는 데 도움이 되며, 변경 추적, 규정 준수 평가, 구성 스냅샷 등의 기능을 제공한다.