2) Security
- 보안은 정보, 시스템, 자산을 보호하는 동시에 위험 평가 및 완화 전략으로 사업의 가치를 전달하는 능력을 포함하며
애플리케이션이 안전한 상태가 되면 점점 리스크가 최소화되고 재해 비용을 절감할 수 있고 기업 보안 문제가 발생하지 않도록 함 - 강력한 보안을 위한 설계 원칙이 존재
- 강력한 자격 증명 기반을 구현하기 위해 사용자 계정 관리를 집중화하고 권한을 최소화해야 함
IAM은 최소 권한을 갖도록 하는 서비스 중 하나가 될 수 있음 - 추적 기능을 활성화하여 모든 로그와 지표를 확인하고 저장해서 이상이 있을 때마다 자동으로 대응하고 조치를 취함
- 한 계층에 장애가 발생하면 다음 계층으로 이어지므로 각 단일 계층을 보호하기 위해 모든 계층에 보안을 적응하기 위해
엣지 네트워크, VPC 서브넷, 로드 밸런서와 보유한 모든 EC2 인스턴스, 패칭한 OS 애플리케이션이 최신인지 확인 - 보안 모범 사례도 수동이 아닌 자동화하여야 함
- 전송 및 저장 중 데이터를 보호하므로 암호화를 활성화하고 늘 SSL와 토큰화, 액세스 제어를 사용하여
사용자들이 데이터에 접근하지 못하도록 해야 함 - 보안 이벤트에 대비하기 위해 대응 시뮬레이션을 실행하고 도구를 사용해서 탐지, 조사, 복구의 속도를 자동화해야 함
- 강력한 자격 증명 기반을 구현하기 위해 사용자 계정 관리를 집중화하고 권한을 최소화해야 함
Security AWS Services
- AWS 서비스 측면에서의 보안
- 자격 증명 및 액세스 관리
임시 자격 증명을 생성하는 IAM과 STS를 의미하며 다요소 인증 토큰과
여러 AWS 계정을 중앙에서 관리하는 Organizations을 뜻함 - 탐지 제어
Config로는 규정 준수 탐지하고, CloudTrail로는 이상한 API 호출을 탐지하며,
CloudWatch로는 표준에서 벗어나는 지표와 내용을 확인 - 인프라 보호
CloudFront는 DDoS 공격에 관한 훌륭한 1차 방어선 역할을 하며, VPC로 네트워크를 보호하고 올바른 ACL를 설정하도록 함
Shield는 DDoS 공격으로부터 AWS 계정을 보호하며, WAF는 웹 애플리케이션 방화벽
Inspector는 EC2 인스턴스의 보안을 확인 - 데이터 보호
KMS를 사용해서 저장 데이터를 모두 암호화하며
S3에는 수많은 암호화 메커니즘이 존재 (SSE-S3, SSE-KMS, SSE-C, 클라이언트 측 암호화)
또한 버킷 정책들도 존재함
모든 관리형 서비스에는 데이터 보호 기능이 있으며 로드 밸런서는 HTTPS 엔드 포인트의 노출을 활성화할 수 있고
EBS 볼륨과 RDS 인스턴스는 저장 데이터를 암호화하고 SSL 기능이 존재하여 데이터를 보호 - 사건 대응
문제 발생 시 IAM은 훌륭한 1차 방어선이 되며 문제가 발생한 계정이 있으면 해당 계정을 삭제하고 권한을 부여하지 않음
CloudFormation도 누군가 전체 인프라를 삭제하면 실행 상태로 되돌리기 위해 사용
누군가 리소스를 삭제한 경우 CloudWatch Events로 해결
'Cloud > AWS' 카테고리의 다른 글
| [SAA] 네 번째 Pillar : 성능 효율성 (0) | 2022.05.07 |
|---|---|
| [SAA] 세 번째 Pillar : 신뢰성 (0) | 2022.05.07 |
| [SAA] 첫 번째 Pillar : 운영 효율성 (0) | 2022.05.07 |
| [SAA] Well Architected 프레임워크와 Well Architected 도구 개요 (0) | 2022.05.07 |
| [SAA] 비용 탐색기 (0) | 2022.05.06 |
