AWS responsibility : 클라우드의 보안을 뜻함 AWS가 사용자에게 제공되는 모든 인프라인 하드웨어, 소프트웨어, 시설, 네트워킹을 보호 (S3, DynamoDB, RDS 등)
Customer responsibility : 사용자의 책임을 뜻함 EC2 인스턴스의 경우 고객인 사용자가 운영체제 관리 책임(운영체제 패치, 업데이트 포함 등)을 가짐 이를 위해 방화벽을 구성해야 하므로 네트워크 ACL과 보안 그룹을 구성하고 IAM 인스턴스 역할을 통해 EC2 인스턴스가 올바른 IAM 정보를 가지게
Shared controls : 공유된 제어 항목 패치 관리와 구성 관리, 인지 및 교육 등이 있으며 AWS와 사용자에게 공유됨 패치 관리 예1) RDS를 사용하는 패치 관리는 AWS에서 사용자를 위해 패치 관리 패치 관리 예2) EC2를 사용하는 경우 사용자가 운영체제를 패치하므로 공유된 제어 항목에 속함 인지 및 교육의 경우 AWS는 직원을 고육하여 시설을 올바로 사용하도록 하고 보안 지침 준수 여부를 확인하며 직원은 사용자를 교육하여 클라우드를 제대로 사용하게 함
Example, for RDS
RDS의 경우
AWS responsibility 기본 EC2 인스턴스를 관리, SSH 액세스를 비활성화, 데이터베이스 패치 자동화, 운영체제 패치 자동화, 기본 인스턴스와 디스크를 감사함으로써 시간이 지나도 작동하도록 보장
Customer responsibility 포트와 IP, 데이터베이스 보안 그룹의 보안 그룹 인바운드 규칙을 올바르게 설정하고 인-데이터베이스 사용자 생성과 그 사용자 권한이 제대로 실행되는지 확인해야 하며 데이터베이스를 생성할 때 공용 액세스 유무를 확인해야 함 데이터베이스를 구성하려면 파라미터 그룹 등을 사용해 암호화된 연결만 강제하도록 함 데이터베이스 내의 데이터를 암호화하도록 활성화하는 것도 사용자의 책임
Example, for S3
S3의 경우
AWS responsibility 무제한 스토리지를 보장, 암호화를 활성화할 수 있도록 보장, AWS 모든 고객의 데이터를 확실하게 분리해 줌, AWS 직원이 사용자의 데이터에 액세스할 수 없도록 함
Customer responsibility 버킷을 구성하고 버킷 정책이 사용자의 기준을 준수하게 하며 IAM 사용자와 역할을 적절하게 사용하도록 함 데이터를 암호화할 때 암호화를 활성화해야 하고 맞는 암호화 체계를 사용해야 함
Shared Responsibility Model diagram
클라우드에서의(IN) 보안은 고객의 책임이며 클라우드의(OF) 보안은 AWS의 책임
사용자 책임 고객과 고객의 데이터 애플리케이션, 플랫폼 및 자격 증명과 액세스 관리, 운영체제, 네트워크 및 방화벽 구성, 클라이언트 측 데이터 암호화, 서버 측 암호화, 네트워크 트래픽 보호
AWS 책임 컴퓨트, 스토리지, 데이터베이스, 네트워킹을 제공할 때 제대로 작동하는지, 하드웨어 및 글로벌 인프라 책임 (리전, AZ, 엣지 로케이션)
