[AWS/Cloud] AWS - Security, Identity, Compliance

[AWS/Cloud] AWS - Security, Identity, Compliance 

 

데이터 보호 - AWS는 데이터, 계정 및 워크로드를 무단 액세스로부터 보호하는 서비스를 제공 

자격 증명 및 액세스 관리 - AWS 자격 증명 서비스를 사용하면 자격 증명, 리소스 및 권한을 대규모로 안전하게 관리 

네트워크 및 애플리케이션 보호 - 조직 전반의 네트워크 제어 지점에서 세분화된 보안 정책을 적용 

위협 탐지 및 지속적인 모니터링 - 클라우드 환경 내의 네트워크 활동 및 계정 동작을 지속적으로 모니터링하여 위협을 식별

규정 준수 및 데이터 프라이버시 - 포괄적인 규정 준수 상태를 확인하고 AWS 모범 사례와 조직에서 준수하는 업계 표준을 기반으로 자동 규정 준수 검사를 사용하여 환경을 지속적으로 모니터링 

 

	사용 사례	AWS 서비스
자격 증명 및 액세스 관리	서비스 및 리소스에 대한 액세스를 안전하게 관리	AWS Identity and Access Management(IAM)
	클라우드 SSO(Single Sign-On) 서비스	AWS Single Sign-On
	앱을 위한 자격 증명 관리	Amazon Cognito
	AWS 계정 전체에 걸쳐 중앙 집중식 거버넌스 및 관리	AWS Organizations
탐지	사용자 활동 및 API 사용 추적	AWS CloudTrail

 

 

AWS Identity and Access Management(IAM)

- AWS 서비스와 리소스에 대한 액세스(접근)를 안전하게 관리

- 하나의 계정에 청약된 모든 서비스 및 리소스에 대한 접근 권한을 개별 사용자별로 부여하는 서비스

- 회사 내에 서버 운영자, 네트워크 운영자 등 특정 역할을 가진 직원별로 서비스 접근권한을 따로 부여

 

"IAM 역할(위임)"

- 일반적으로 조직의 AWS 리소스에 대한 액세스 권한이 없는 사용자나 서비스에 액세스 권한을 위임

- IAM 사용자나 AWS 서비스는 AWS API 호출을 수행하는 데 사용할 수 있는 임시 보안 자격 증명을 획득할 수 있는 권한을 맡을 수 있음

- 즉, 장기 자격 증명을 공유하거나 리소스에 액세스해야 하는 엔터티별로 권한을 정의할 필요가 없음 

 

역할 위임 방법

- 콘솔, CLI, AssumeRole API, AWS Security Token Service(AWS STS)

(1) AssumeRole 작업 - 액세스 키 ID, 보안 액세스 키 및 보안 토큰으로 구성된 임시 자격 증명세트 반환, 교차 계정 액세스 또는 자격증명연동에 사용

(2) AWS STS - AWS 계정에 대한 AWS 호출 기록, Amazon S3 버킷에 로그 파일을 전송하는 AWS CloudTrail 지원

(3) CloudTrail- IAM 및 AWS STS API에 대한 모든 인증된(자격 증명을 사용해 생성된) API 요청 기록, AWS STS 작업, AssumeRoleWithSAML, AssumeRoleWithWebIdentity에 대한 인증되지 않은 요청 기록, 자격 증명 공급자가 제공하는 정보 기록 -> 이 정보를 사용하여 위임된 역할을 지닌 연동 사용자의 호출을 외부 연동 호출자에 다시 매핑 가능 

 

 

Amazon Cognito

- 웹 및 모바일 앱에 대한 인증, 권한 부여 및 사용자 관리를 제공하는 완전 관리형 서비스

- 사용자는 사용자이름과 암호를 사용하여 직접 로그인하거나 Facebook, Amazon, Google과 같은 타사를 통해 로그인 가능 

- 구성요소 (1) 사용자풀 (2) 자격 증명풀

(1) 사용자풀

-  앱 사용자의 가입 및 로그인 옵션을 제공하는 사용자 디렉터리

- 앱 사용자는 사용자 풀을 통해 로그인하거나 타사 자격 증명 공급자(IdP)를 통해 연동 로그인

 

• 앱을 위한 가입 및 로그인 웹 페이지 설계
• 사용자 데이터 액세스 및 관리
• 사용자 장치, 위치 및 IP 주소를 추적하고 여러 위험 수준의 로그인 요청에 대응
• 앱에 사용자 지정 인증 흐름 사용

 

 

(2) 자격 증명풀

- 다른 AWS 서비스에 대한 액세스 권한 사용자에게 부여 가능, 별도로 함께 사용 

- 권한 부여(액세스 제어)를 위한 것,  자격 증명 풀을 사용하여 사용자에 대한 고유한 자격 증명을 생성하고 해당 사용자에게 다른 AWS 서비스에 대한 액세스 권한을 부여

• 사용자에게 Amazon Simple Storage Service(Amazon S3) 버킷 또는 Amazon DynamoDB 테이블과 같은 AWS 리소스에 대한 액세스 권한 부여
• 인증되지 않은 사용자를 위한 임시 AWS 자격 증명 생성

 

 

 

AWS Landing Zone 

- AWS 모범 사례에 따라 안전한 다중 계정 AWS 환경을 빠르게 설정할 수 있도록 도와주는 솔루션 

- 안전하고 확장 가능한 워크로드 실행을 위한 환경 자동 설정, 핵심 계정 및 리소스 생성을 통해 초기 보안 기준이 구현되므로 시간 절약 가능

- 다중계정 아키텍쳐, 자격증명 액세스관리, 거버넌스, 데이터보안, 네트워크 설계, 로깅을 시작할 수 있는 기본환경 제공 

- 솔루션 종류 (1) 다중계정 (2) Account Vending Machine (3) 사용자 액세스 (4) 알림 

 

 

 

AWS Organizations

- 계정관리를 위한 관리형 서비스 ,조직은 모든 AWS 계정을 통합하고, 중앙에서 확인하고, 관리하기 위해 생성하는 엔터티

- 여러 AWS 계정에 대한 정책을 중앙에서 관리

- 그룹기반으로 계정을 관리함 

- AWS 서비스에 대한 정책 기반 액세스 - 여러 AWS 계정에 대해 AWS 서비스 사용을 중앙에서 제어하는 서비스 제어 정책(SCP)을 생성 가능, IAM 정책이 IAM 사용자나 역할과 같은 계정의 엔터티에 부여할 수 있는 권한 제한 가능 

- AWS 계정 생성 및 관리 자동화 - Organizations API를 사용하여 새로운 AWS 계정의 생성과 관리를 자동화할 수 있음 

- 여러 AWS 계정의 결제 통합 - 통합 결제를 통해 조직 내 모든 AWS 계정에 대해 단일 결제 방법 설정 가능 , 통합 결제의 경우 모든 계정에서 발생한 비용을 통합해서 볼 수 있음 

- API 수준에서 AWS 서비스 제어 - SCP를 사용하여 API 수준에서 AWS 서비스 사용을 관리할 수 있음 ex) 계정 그룹에 정책을 적용하여 해당 계정의 IAM 사용자만 Amazon S3 버킷에서 데이터를 읽을 수 있도록 허용 

 

 

리소스에 임시 권한을 부여해야 하는 경우? IAM 역할

하나의 사용자가 S3 버킷에 액세스 할 수 없을 경우 , 문제의 원인을 파악하려면? 사용자와 버킷에 연결된 정책 파악 

 

 

AWS  CloudTrail

- 계정에 대한 AWS API 호출을 기록하고 로그 파일을 사용자에게 전달하는 웹 서비스

- API 호출자 자격증명, API 호출 시간, API 호출자의 원본 IP 주소, 요청 파라미터 및 AWS 서비스가 반환한 응답 요소와 같은 정보가 기록 

- AWS 관리콘솔, AWS SDK, 명령줄 도구, 상위수준 AWS( AWS CloudFormation)을 통해 이루어진 API 호출을 비롯하여 계정에 대한 AWS API 호출 내역 확인 가능 

- CloudTrail에서 작성되는 AWS API 호출내역을 통해 보안분석, 리소스 변경사항 추적 및 준수감사 수행가능

- 리전 단위로 활성화 

 

 

 

 

출처

1. https://aws.amazon.com/ko/iam/details/manage-roles/

2. https://aws.amazon.com/ko/premiumsupport/knowledge-center/cognito-user-pools-identity-pools/ 

3.