보안 및 자격 증명

AWS Cognito & AWS Single Sign-On

AWS Cognito

• 앱에 대한 로그인 및 인증을 제공하는 기능
• 웹 과 모바일 앱에 빠른 사용자가입, 로그인 및 액세스 제어 가능
• 애플, 구글 페이스북 등의 계정과 통합 가능

 

AWS Single Sign On (SSO)

• SSO는 중앙에서 관리하는 하나의 계정으로 여러 앱에 로그인하는 기능
• AWS Organization , Active Directory , SAML 2.0 과 통합가능
• SAML은 인증을 지원하기 위한 표준 데이터 포맷
• on premise에 있는 MS 계정 + Custom SAML 지원 앱 계정을 통해 다른 slack ,dropbox등에 로그인 가능

 

KMS (Key Management System)

• 암호화 키를 생성 및 관리하는 서비스
• 감사를 위해 AWS CloudTrail과도 통합되어 모든 키 사용에 관한 로그를 제공
• 3가지 유형의 키 제공
  • 고객 관리형 키 (customer managed keys)
    • 사용자가 생성, 소유 및 관리하는 AWS 계정의 KMS 키
    • 키 정책, IAM 정책 및 권한 부여 , 암호화 구성요소 등의 제어 권한을 사용자가 가짐
  • AWS 관리형 키 (AWS managed Keys)
    • AWS 서비스가 고객의 계정에서 고객 대신 생성, 관리 및 사용하는 KMS키
    • 키 정책, 키 삭제 등의 제어 권한이 없거나 제한이 있음
  • AWS의 키 (AWS owned keys)
    • AWS 서비스가 여러 AWS 계정에서 사용하기 위해 소유하고관리하는 KMS 키 모음

 

CloudHSM

• KMS는 AWS에서 관리하는 소프트웨어 방식의 암호화
• CloudHSM은 AWS에서 제공하는 하드웨어 암호화 장비를 통한 하드웨어 방식의 암호화
• KMS와 다르게 암호화 키관리는 사용자(클라이언트) 가 해야함
• 고객 제공 키 (SSE-C, Customer Provided Keys) 에 적합한 방식

 

KMS 다중 리전 키

• 여러 리전에서 동일한 키를 가지고 있는 것
• 다중 리전키의 각 세트에는 동일한 키 구성 요소와 키 id가 있으므로
  AWS KMS 를 다시 암호화 하거나 크로스 리전 호출을 수행하지 않고
  하나의 AWS 리전에서 데이터를 암호화 하고 다른 AWS 리전에서 복호화 가능
• 예를 들어 시드니의 복제본 키를 사용하여 데이터를 암호화하고 데이터를 미국 서부에서 복호화 가능
• Amazon DynamoDB 글로벌 테이블 및 DynamoDB 암호화, 멀티 리전의 복제된 S3 버킷의 암호화 등에 사용 가능

 

---

Secrets Manager

• 보안정보 (자격증명) 을 중앙 집중식으로 저장, 검색, 액세스 제어, 교체, 감사 및 모니터링하는 서비스
• 보안정보는 데이터베이스 자격 증명, 온프레미스 리소스 자격 증명, SaaS 앱 자격 증명, 타사 API 키 및 Secure Shell(SSH) 키 등이 될 수 있음
• 보안정보 (자격증명) 을 유지하는 방법
  • 사용자가 소유하고 AWS KMS에 저장한 암호화 키를 사용해 저장 보안정보를 암호화
  • 사용자는 AWS IAM 정책을 사용해서 보안 정보에 대한 액세스를 제어
  • 사용자가 보안 정보를 검색하면 Secrets Manger 가 해당 보안 정보를 복호화하여 TLS를 통해 안전하게 로컬 환경으로 전송
• 보안정보를 자동으로 교체 및 관리 가능
  • Amazon RDS , Amazon Redshift 및 Amazon DoucmentDB와 기본적으로 통합되며 사용자 대신 이러한 데이터베이스 자격 증명을 자동으로 교체
  • lambda의 코드와 통합하여 30,60일 등의 자격증명 자동교체 날짜를 지정하여 실행가능

 

AWS Certificate Manager(ACM)

• SSL/TLS 인증서를 중앙에서 관리하는 서비스
• AWS 리소스에 사용할 공인 및 사설 SSL/TLS 인증서를 관리 및 배포할 수 있음
• SSL/TLS 인증서는 ACM에서 자동으로 갱신 됨

 

Shield & WAF

Shield

• AWS웹 앱을 DDos(Distributed Denital Of Service) 공격으로부터 보호
• Shield는 2가지 유형을 제공
  • Shield Standard
    • 모든 AWS 사용자에게 적용이 되어있음
    • SYN/UDP Flood 등 기본적인 DDoS 공격 보호
  • Shield Advanced
    • 스탠다드 서비스보다 많은 보호 제공 (유료)
    • EC2, ELB, CloudFornt , Route53등에서 정교한 DDoS 보호제공

 

WAF - Web Application Firewall

• App LB, API Gatway ,CloudFront에 적용되는 Http (OSI 7계층) 에서 동작하는 웹앱을 보호하는 방화벽
• WAF의 Web ACL (Access Control List)를 통해 정의할 수 있는 기능
  • 악성 IP 주소차단
  • 특정 국가의 엑세스 제어(차단)
  • SQL Injection , Cross Site Scripting (XSS) 방어
  • 속도기반규칙 (Rate-based rules) 으로 DDos 공격 방어 (5분안에 500번 접속 같이 개빠를때)

 

AWS Firewall Manager

• AWS Organizations의 여러 계정과 앱의 방화벽 규칙을 중앙에서 구성 및 관리할 수 있는 보안 관리 서비스
• 중앙의 관리자 계정에서 방화벽 규칙을 수립하고 , 보안정책을 생성하며 , 전체 인프라에 걸쳐 중앙에서 적용 가능
• 중앙에서 여러 AWS 계정 및 리소스에 걸쳐 있는 Amazon VPC 에 대해 AWS WAF규칙, AWS Shield Advanced 보호 , 보안 그룹 및 AWS Network Firewall 규칙 및 AWS Marketplace 서드 파티 방화벽 규칙 및 Amazon Route 53 Resolver DNS Firewall 규칙을 중앙에서 구성 가능

 

GuardDuty, Macie, Inspector

GuardDuty

• AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 상세한 보안 결과를 제공하는 위협 탐지 서비스
• 공격자 정찰, 인스턴스 침해, 계정 침해 및 버킷 침해와 같은 위협을 파악하도록 지원하여 AWS 계정, 워크로드 및 데이터에 대한 광범위한 보호를 제공
• 보안 탐지 결과를 GuardDuty 콘솔과 Amazon CloudWatch Events 로 전달하여 알림을 토대로 조치를 취할 수 있고 기존 이벤트 관리 또는 워크로드 시스템에 통합 가능
•  

Amazon Macie

• 데이터 보안 및 데이터 프라이버시 서비스로서, 기계 학습 및 패턴 일치를 활용하여 AWS에서 민감한 데이터를 검색하고 보호
• 이름, 주소 및 신용카드 번호와 같은 개인 식별 정보를 포함하여 대규모의 점점 증가하는 민감한 데이터 유형목록을 자동으로 감지
• S3 버킷에 기계학습 및 패턴 매칭 기법을 적용하여 개인 식별 정보와 가은 민감한 데이터를 식별하고 사용자에게 알릴 수 있음

Amazon Inspector

• EC2 및 컨테이너 워크로드에서 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 지속적으로 스캔하느 ㄴ자동화된 취약성 관리 서비스