추가 보안 서비스

AWS Key Management Service(AWS KMS)

저장 상태에서(저장 시 암호화) 그리고 전송되는 동안(전송 중 암호화라고 함) 애플리케이션의 데이터가 안전한지 확인해야 합니다.

AWS Key Management Service(AWS KMS)를 사용하면 암호화 키를 사용하여 암호화 작업을 수행할 수 있습니다. 암호화 키는 데이터 잠금(암호화) 및 잠금 해제(암호 해독)에 사용되는 임의의 숫자 문자열입니다. AWS KMS를 사용하여 암호화 키를 생성, 관리 및 사용할 수 있습니다. 또한 광범위한 서비스 및 애플리케이션에서 키 사용을 제어할 수 있습니다.

AWS KMS를 사용하면 키에 필요한 액세스 제어를 특정 수준으로 선택할 수 있습니다. 예를 들어 키를 관리할 수 있는 IAM 사용자 및 역할을 지정할 수 있습니다. 또는 더 이상 사용되지 않도록 일시적으로 키를 비활성화할 수 있습니다. 키는 AWS KMS를 벗어나지 않으며, 사용자가 항상 키를 제어할 수 있습니다.

AWS WAF

AWS WAF는 웹 애플리케이션으로 들어오는 네트워크 요청을 모니터링할 수 있는 웹 애플리케이션 방화벽입니다. 

AWS WAF는 Amazon CloudFront 및 Application Load Balancer와 함께 작동합니다. 이전 모듈에서 배운 네트워크 액세스 제어 목록을 기억해 보십시오. AWS WAF는 비슷한 방식으로 작동하여 트래픽을 차단하거나 허용합니다. 그러나 AWS 리소스를 보호하기 위해 웹 액세스 제어 목록(ACL)을 사용합니다. 

 

애플리케이션이 여러 IP 주소에서 악의적인 네트워크 요청을 받고 있다고 가정하겠습니다. 이러한 요청이 애플리케이션에 계속 액세스하는 것을 방지해야 하지만 합법적인 사용자는 여전히 애플리케이션에 액세스할 수 있도록 해야 합니다. 지정한 IP 주소에서 나온 요청을 제외한 모든 요청을 허용하도록 웹 ACL을 구성합니다.

AWS WAF는 요청이 들어오면 웹 ACL에서 구성한 규칙 목록을 확인합니다. 요청이 차단된 IP 주소 중 하나에서 나오지 않았으면 애플리케이션에 대한 액세스를 허용합니다.

 

 

 

 

 

 

그러나 요청이 웹 ACL에서 지정한 차단 IP 주소 중 하나에서 나왔으면 AWS WAF가 액세스를 거부합니다.

 

 

 

 

 

 

 

Amazon Inspector

Amazon Inspector는 자동화된 보안 평가를 실행하여 애플리케이션의 보안 및 규정 준수를 개선할 수 있는 서비스입니다. 이 서비스는 Amazon EC2 인스턴스에 대한 오픈 액세스, 취약한 소프트웨어 버전 설치와 같은 보안 모범 사례 위반 및 보안 취약성을 애플리케이션에서 검사합니다. 

Amazon Inspector는 평가를 수행한 후에 보안 탐지 결과 목록을 제공합니다. 이 목록은 심각도 수준에 따라 우선순위가 결정되고 각 보안 문제에 대한 자세한 설명 및 권장 해결 방법이 포함됩니다. 그러나 AWS는 제공된 권장 사항으로 모든 잠재적 보안 문제가 해결됨을 보장하지 않습니다. 공동 책임 모델에 따라 고객은 AWS 서비스에서 실행되는 애플리케이션, 프로세스 및 도구의 보안에 대한 책임이 있습니다.

Amazon GuardDuty

Amazon GuardDuty는 AWS 인프라 및 리소스에 대한 지능형 위협 탐지 기능을 제공하는 서비스입니다. 이 서비스는 AWS 환경 내의 네트워크 활동 및 계정 동작을 지속적으로 모니터링하여 위협을 식별합니다.

AWS 계정에서 GuardDuty를 활성화하면 GuardDuty가 네트워크 및 계정 활동을 모니터링하기 시작합니다. 추가 보안 소프트웨어를 배포하거나 관리할 필요가 없습니다. 그런 다음 GuardDuty는 VPC Flow Logs 및 DNS 로그를 비롯한 여러 AWS 소스의 데이터를 지속적으로 분석합니다. 

GuardDuty가 위협을 탐지한 경우 AWS 관리 콘솔에서 위협에 대한 자세한 탐지 결과를 검토할 수 있습니다. 탐지 결과에는 문제 해결을 위한 권장 단계가 포함됩니다. 또한 GuardDuty 보안 탐지 결과에 대한 응답으로 자동으로 문제 해결 단계를 수행하도록 AWS Lambda 함수를 구성할 수도 있습니다.

[출처]

AWS Cloud Practitioner Essentials