AWS WAF & Shield
AWS Shield와 AWS WAF는 모두 AWS에서 제공하는 보안 서비스로, 웹 애플리케이션을 보호하는 역할을 수행한다.
AWS Shield
AWS Shield는 DDoS(Ditributed Denial of Service) 공격으로부터 애플리케이션을 보호하는 서비스로, 두 가지 주요 버전이 존재한다.
- AWS Shield Standard
- 모든 AWS 고객에게 자동으로 제공되며, 기본적인 DDoS 공격 방어를 포함함
- 추가 비용 없이 사용 가능하며, 일반적인 네트워크(L3) 및 전송(L4) 계층 공격으로부터 보호함
- AWS Shield Advanced
- 더 높은 수준의 보호를 제공하며, 더 복잡한 DDoS 공격으로부터 보호한다
- 추가 비용이 발생하며, 실시간 공격 탐지, 24/7 전문가 지원, 공격에 대한 비용 보호 및 상세 보고서 제공
AWS WAF
AWS WAF는 웹 애플리케이션을 OWASP Top 10을 포함한 일반적인 웹 공격으로부터 보호하는 웹 애플리케이션 방화벽 서비스로, 주로 애플리케이션 계층(Layer 7)에서 발생하는 공격을 방어하는 데 초점을 둔다.
- 기능
- IP 차단/허용, SQL Injection, XSS 등의 공격을 탐지하고 차단할 수 있다.
- 사용자 정의 규칙을 설정하여 특정 트래픽 패턴을 기반으로 요청을 허용하거나 차단할 수 있다.
- AWS CloudFront에 통합되어, 전 세계에 분산된 애플리케이션을 보호할 수 있다.
정리하면, AWS Shield는 주로 DDoS 공격에 대한 보호를 제공하며, 네트워크와 전송 계층에 초점을 맞춘 반면, AWS WAF는 애플리케이션 계층에서의 웹 공격을 방어하는 데 중점을 둔다.
따라서, DDoS 공격에 대한 광범위 보호가 필요한 경우 AWS Shield를, 웹 애플리케이션 보호를 위한 세부적인 규칙 설정과 웹 공격에 대한 방어가 필요하다면 AWS WAF를 사용하는 것이 적합하다.
Amazon Inspector
Amazon Inspector는 AWS에서 제공하는 자동화된 보안 평가 서비스로, 애플리케이션의 보안 및 규정 준수 상태를 평가하고 개선 방법을 제공한다. 해당 서비스는 특히 애플리케이션 내 취약점이나 모범 사례 위반을 식별하여, 개발팀이나 보안팀이 이를 빠르게 수정할 수 있도록 돕는다.
- 주요 기능 및 특징
- 자동화된 보안 평가
- Amazon EC2 인스턴스, 컨테이너 이미지 포함 AWS 리소스를 스캔하여 보안 취약점 등을 자동으로 평가한다
- 정기적 평가를 통해 새 취약점을 발견할 때마다 경고를 제공하며, 계속해서 보안 상태를 유지한다.
- 취약점 관리
- 발견한 취약점을 심각도에 따라 분류하며, 각 취약점에 대한 상세 보고서와 함께 수정 권장사항을 제공한다
- 컨테이너 보안
- 통합 및 자동화
- AWS Security Hub와 통합되어, 보안 상태를 중앙 관리하고 여러 AWS 보안 서비스를 함께 사용 가능하다
- CI/CD 파이프라인과 통합하여, 코드 배포 전에 자동으로 보안 검사를 실행할 수 있다.
- 상시 모니터링
- 자동화된 보안 평가
- 사용 사례
- DevSecOps : 개발 단계에서부터 보안 취약점을 사전에 식별하고 해결함으로써, 애플리케이션 배포 시 보안 문제를 최소화할 수 있다.
- 규정 준수 : 규제 요구사항이나 내부 보안 표준을 준수하기 위해 정기적인 보안 검사를 수행할 수 있다.
보안 평가를 수행할 때 주의해야 하는 서비스는 다음과 같다.
- AWS Shield
- AWS WAF
- AWS Marketplace
- Amazon CloudFront
- Amazon Route 53
AWS 고객이 위 같은 서비스에 대해 보안 평가를 수행하려는 경우, AWS의 사전 승인이 필요할 수 있다. 이는 해당 서비스가 고객의 애플리케이션과 AWS 인프라를 보호하는 데 중요한 역할을 수행하므로, 보안 평가로 인해 서비스에 영향을 줄 수 있기 때문이다.
AWS에서는 일반적으로 EC2 인스턴스, RDS, S3 버킷 등 기본적인 인프라 서비스에 대한 침투 테스트 및 보안 평가를 수행하는 것을 허용하고 있다.
Logging
AWS에서 제공하는 다양한 Logging 서비스는 AWS 환경의 가시성을 높이고, 보안 및 규정 준수 요구 사항을 충족하는 데 매우 중요한 역할을 수행한다. 각 log 서비스는 특정 목적을 위해 설계되었으며, 서로 다른 유형의 데이터를 수집하고 분석한다.
다음은 주요 AWS Logging 서비스의 개요이다.
CloudTrail
- 목적 : AWS 계정 내에서 수행되는 모든 API 호출과 관련된 로그를 기록한다.
- 주요 특징
- AWS Management Console, AWS SDK, CLI 및 기타 AWS 서비스에서 발생하는 모든 API 호출을 기록한다.
- 누가, 언제, 어떤 리소스에 대해 무엇을 했는지 추적할 수 있다.
- 보안 분석, 리소스 변경 추적, 규정 준수를 위해 사용된다.
Config
- 목적 : AWS 리소스의 구성 상태와 변경 사항을 추적하고 기록한다.
- 주요 특징
- 리소스의 구성 기록을 자동으로 유지하고, 구성 변경 사항을 기록한다.
- 특정 리소스가 특정 시점에 어떤 구성 상태였는지 알 수 있다.
- 규정 준수 여부를 확인하고, 구성 규칙에 따른 평가를 제공한다.
CloudWatch
- 목적 : AWS 리소스와 애플리케이션에서 발생하는 운영 및 성능 데이터를 모니터링하고 로그를 수집한다.
- 주요 특징
- 로그 수집 : 애플리케이션 로그, 시스템 로그, 사용자 정의 로그 등을 수집하여 분석할 수 있다.
- 지표 생성 : 시스템 매트릭스(CPU, 메모리 사용량 등)를 모니터링하고 알림을 설정할 수 있다.
- 대시보드를 통해 실시간 모니터링이 가능하며, 자동으로 경보를 설정할 수 있다.
VPC Flow logs
- 목적 : Amazon VPC 내에서 네트워크 트래픽(수신 및 발신 트래픽)을 기록한다.
- 주요 특징
- VPC, 서브넷 또는 네트워크 인터페이스의 IP 트래픽을 캡처하여 분석할 수 있다.
- 네트워크 문제를 진단하고 보안 분석을 수행할 수 있다.
- 허용 및 거부된 트래픽의 흐름을 추적하여 네트워크 상에서의 이상 행동을 탐지할 수 있다.
ELB Access logs
- 목적 : Elastic Load Balancer(ELB)에서 처리된 요청의 세부 정보를 기록한다.
- 주요 특징
- 클라이언트 요청, 응답, 대상 서버로의 전달에 대한 정보를 기록한다.
- 요청 시간, 클라이언트 IP 주소, 로드 밸런서에서 반환된 응답 코드, 대상 서버로 전달된 요청 시간 등의 데이터를 포함한다
- 웹 애플리케이션 성능 최적화, 트래픽 분석 및 보안 모니터링에 유용하다.
CloudFront log
- 목적 : 웹으로 배포된 서버에 대한 접근을 기록한다.
- 주요 특징
- CloudFront 로그는 Amazon S3에 로그 파일 형식으로 저장되며, 이를 Amazon Athena, AWS Glue, Amazon Redshift 등을 활용해 로그 데이터를 쿼리하고 분석할 수 있다.
WAF log
- 목적 : AWS WAF에서 필터링된 HTTPS 요청에 대한 정보를 기록한다.
- 주요 특징
- AWS WAF에서 설정된 규칙에 의해 허용되거나 차단된 요청을 기록한다.
- IP 주소, HTTP 메소드, 요청 경로, User-Agent 등과 같은 세부 정보를 포함한다.
- 웹 애플리케이션 보안 상태를 분석하고, 악의적인 활동을 탐지하는 데 사용된다.
요약
| 서비스 | 상세 |
| CloudTrail | API 호출 기록 (보안, 감사용) |
| Config | 리소스 구성 상태 추적 (규정 준수, 변경 관리) |
| CloudWatch | 운영 및 성능 모니터링 (모든 로그 수집 및 분석) |
| VPC Flow Logs | 네트워크 트래픽 기록 (네트워크 분석 및 보안) |
| ELB Access Logs | 로드 밸런서 트래픽 기록 (트래픽 분석 및 성능 최적화) |
| CloudFront Logs | 웹 서버 트래픽 기록 (웹 트래픽 분석) |
| WAF Logs | 웹 애플리케이션 방화벽 로그 (보안 분석) |
AWS GuardDuty
AWS 환경에서 잠재적인 보안 위협을 자동으로 탐지하고 모니터링하는 관리형 위협 탐지 서비스이다. AWS 계정, 워크로드 및 데이터를 보호하는 역할을 수행하며, 보안 침해, 악의적 활동을 식별하는 데 유용하다.
- 주요 특징
- 지능형 위협 탐지
- 자동화된 분석
- 간편한 설정 및 관리
- 위협 인텔리전스
- 위협 경고
- 통합 및 확장성
정리하면, AWS GuardDuty는 AWS 환경에서 지능적이고 자동화된 위협 탐지를 제공하는 서비스로, 보안 팀이 잠재적인 위협을 신속하게 탐지하고 대응할 수 있도록 지원한다. GuardDuty는 보안 위협을 실시간으로 분석하고 경고를 제공하며, 이를 통해 AWS 리소스를 효과적으로 보호할 수 있다.
AWS GuardDuty는 다음과 같은 데이터 소스를 스캔하여 잠재적인 보안 위협을 탐지한다.
1. AWS CloudTrail 이벤트 로그
2. VPC Flow Logs
3. DNS 로그
AWS GuardDuty는 EC2 인스턴스에서 직접 수집된 운영 체제 수준의 로그나 애플리케이션 로그는 스캔하지 않는다. 예를 들어, 특정 애플리케이션 로그, 시스템 로그, 데이터베이스 로그 등의 데이터를 직접 스캔하거나 분석하지 않는다.
이러한 로그는 주로 AWS CloudWatch, AWS Config, 또는 AWS ELB Access Logs 같은 다른 AWS 서비스를 통해 수집 및 분석된다. GuardDuty는 이러한 로그에 직접 접근하지 않고, 대신 네트워크 트래픽, API 호출 및 DNS 쿼리 로그 같은 metadata를 분석하는 데 집중한다.
AWS Trusted Advisor
AWS 사용자가 클라우드 환경을 최적화하고, 비용을 절감하며, 보안을 강화하고, 성능을 개선하며, 서비스 한도를 관리할 수 있도록 돕는 관리형 서비스이다. 이 서비스는 AWS 리소스에 대한 모범 사례를 기반으로 권장 사항을 제공하여 AWS 인프라의 효과적 운영을 돕는다.
- 권장 사항 카테고리
- 비용 최적화 (Cost Optimization)
- 불필요한 비용 절감
- Reservded Instances
- S3 데이터 비용 절감
- 보안 (Security)
- 보안 취약점 확인
- IAM 사용 권장 사항 ("최소 권한 원칙")
- 내결함성 (Fault-Tolerance)
- 백업 및 복구 계획
- 다중 AZ 및 리전 활용
- 성능 (Performance)
- 인스턴스 최적화
- Elastic Load Balancer
- 운영 (Operational Excellence)
- 운영 절차 및 변경 관리
- 실시간 모니터링 및 경보
- 자동화 및 효율성
- 서비스 한도 (Service Limits)
- 서비스 한도 모니터링
- 서비스 한도 확장
- 비용 최적화 (Cost Optimization)
AWS KMS
AWS Key Management Service (KMS)는 데이터를 보호하는 데 사용되는 아뫃화 키를 쉽게 만들고 제어할 수 있도록 돕는 관리형 서비스로, AWS 하드웨어 보안 모듈(HMS)을 사용하여 데이터를 보호하고 검증한다.
- 주요 특징
- 키 생성 및 관리
- 데이터 암호화
- 통합 서비스
- IAM 및 정책
- 고가용성 및 내결함성
- 비용 효율성
AWS KMS 데이터를 암호화하는 대부분의 다른 AWS 서비스와 통합되며, 감사, 규제 및 AWS CloudTrail 규정 준수 요구 사항을 위한 KMS 키 사용을 기록하는 데도 통합된다.
KMS Customer Managed Key에 대한 접근 통제는 KMS Key Policies를 통해 가능하다.
AWS Artifact
AWS Artifact는 규정 준수 보고서 및 기타 보안 관련 문서에 대한 Access를 제공하는 서비스로, 다음의 두 가지 주요 구성요소로 나뉜다.
- AWS Artifact Reports
- AWS의 규정 준수 상태를 증명하는 보고서 및 인증서를 제공한다.
- 고객은 자신의 규제 및 감사 요구사항을 충족하기 위해 이러한 보고서를 다운로드하고 검토할 수 있다.
- AWS Artifact Agreements
- 고객이 AWS와 체결한 계약서에 대한 정보와, 필요한 경우 AWS가 고객과 맺는 보안 계약서를 관리할 수 있다.
- 고객은 특정 규제 요구사항을 충족하기 위해 계약서에 서명하고 관리할 수 있다.
AWS Artifact는 단순히 문서와 보고서를 제공하는 서비스로, 보안 평가나 침투 테스트 같은 활동과 직접적으로 관련이 없다. Artifact는 규정 준수 문서의 제공과 관리에 중점을 두며, 고객이 AWS 인프라에서 규정 준수 요구사항을 충족할 수 있도록 지원하는 도구이다.
'자격증 공부 > AWS SysOps Administrator - Associate' 카테고리의 다른 글
| AWS SysOps 3회차 실전 문제 풀이 (1) | 2024.09.18 |
|---|---|
| AWS SysOps Administrator - Networking(VPC) (0) | 2024.08.31 |
| AWS SysOps 2 회차 실전 문제 풀이 (0) | 2024.08.15 |
| AWS SysOps Administrator - Monitoring and Auditing (1) | 2024.08.08 |
| AWS SysOps 1 회차 실전 문제 풀이 (0) | 2024.08.07 |
