AWS Artifact
- 고객에게 AWS의 규정 준수 문서와 AWS 계약에 대한 온디맨드 액세스를 제공하는 셀프 감사 아티팩트 검색 포털 서비스
- AWS ISO 인증, PCI, SOC 보고서와 같은 AWS 보안 및 규정 준수 문서를 다운로드할 수 있음
AWS Audit Manager
- AWS 사용량을 지속적으로 감사하여 위험과 규정 및 산업 표준의 준수를 평가하는 방법을 간소화하는데 도움을 주는 서비스
- 증거 수집을 자동화함으로써 정책, 절차 및 활동의 효과적인 수행 여부를 쉽게 평가할 수 있으며
통제 항목에 대한 이해관계자의 검토를 관리함으로써 수동 작업을 대폭 줄이면서 감사 준비 보고서를 작성할 수 있음
AWS Certificate Manager (ACM)
- AWS 서비스 및 연결된 내부 리소스에 사용할 공인 및 사설 SSL/TLS 인증서를
손쉽게 프로비저닝, 관리 및 배포할 수 있도록 지원하는 서비스 - 사용자가 신속하게 인증서를 요청하고, AWS 리소스에 배포한 후, ACM이 인증서 갱신을 처리하도록 할 수 있음
AWS CloudHSM
- AWS 클라우드에서 자체 암호화 키를 손쉽게 생성 및 사용할 수 있도록 지원하는 클라우드 기반 하드웨어 보안 모듈 서비스
- AWS 클라우드 내 전용 HSM(Hardware Security Module) 인스턴스를 사용함으로써
데이터 보안에 대한 기업, 계약 및 규제 준수 요구 사항을 충족하는데 도움을 주며 기존의 데이터 보호 솔루션을 보완함
Amazon Cognito
- 웹 및 모바일 앱에 대한 사용자 인증 및 권한 부여를 처리하는 서비스
- Cognito 사용자 풀(CUP)을 사용해 인증 후, 사용자에게 자격을 부여해 서버나 애플리케이션과 상호작용하도록 하며,
Cognito 자격 증명 풀(FIP)을 사용해 자격 증명 제공자로 로그인한 후 얻은 토큰을 지격 증명 풀로 넘겨주면
FIP는 신분 확인 후 AWS 임시 자격 증명을 직접 애플리케이션 사용자에게 제공해 AWS 리소스에 직접 액세스하도록 함
Amazon Detective
- 잠재적 보안 문제나 의심스러운 활동의 근본 원인을 쉽고 빠르게 분석, 조사 및 식별할 수 있는 서비스
- AWS 리소스에서 로그 데이터를 자동으로 수집하고, 기계 학습, 통계 부석 및 그래프 이론을 사용하여
보다 쉽고 빠르게 효율적인 보안 관련 조사를 시행할 수 있도록 지원하는 데이터 집합을 구축함
AWS Directory Service
- 사용자, 그룹, 컴퓨터, 기타 리소스 등 조직에 관한 정보가 포함된 디렉토리를 제공하는 관리형 서비스
- 관리형 오퍼링으로서 관리 작업을 줄여 비즈니스에 더 많은 시간과 리소스를 집중할 수 있도록 설계되었으며
주 디렉토리가 여러 가용 영역에 걸쳐 배포되고 모니터링을 통해 실패한 도메인 컨트롤러를 자동으로 탐지하여 교체함
AWS Firewall Manager
- AWS Organization의 여러 계정과 애플리케이션에서 방화벽 규칙을 중앙에서 구성 및 관리할 수 있는 보안 관리 서비스
- 새로운 애플리케이션이 생성될 때 새로운 애플리케이션 및 리소스가 공통 보안 규칙 세트를 손쉽게 준수하도록 할 수 있음
Amazon GuardDuty
- 보안 소프트웨어 또는 에이전트를 사용하지 않고
AWS 계정, Amazon EC2, Amazon EKS 클러스터 및 Amazon S3에 저장된 데이터에서
악의적 활동을 지속적으로 모니터링하는 지능형 위협 탐지 서비스 - 많은 로그를 분석해서 머신 러닝 알고리즘과 이상 탐지 기술, 타사 데이터를 사용해서 계정에 대한 공격을 탐지하며
CloudTrail 로그는 비정상적인 API 호출이나 무단 배포를 탐지하고,
VPC 플로우 로그는 비정상적인 내부 트래픽이나 비정상 IP 주소를 탐지하며,
DNS 로그는 DNS 쿼리 인코딩 데이터를 보내는 손상된 EC2 인스턴스를 탐지함
AWS Identity and Access Management (AWS IAM)
- AWS의 서비스 및 리소스에 액세스할 수 있는 주체를 지정하고 세분화된 권한을 중앙에서 관리하며
액세스 권한을 분석하고 AWS 전체의 권한을 세분화할 수 있는 서비스 - IAM 정책을 사용하여 인력 및 시스템에 대한 권한을 관리하여 최소 권한 원칙을 사용해 보장할 수 있음
Amazon Inspector
- Amazon EC2 및 컨테이너 워크로드에서 소프트웨어 취약성과 의도하지 않은 네트워크 노출을
지속적으로 스캔하는 자동화된 취약성 관리 서비스 - EC2에 인스펙터 에이전트를 설치하면 인스펙터 서비스와 연결되고 평가를 실행할 수 있으며 탐지 결과를 알림
AWS Key Management Service (AWS KMS)
- 암호화 작업에 사용되는 키를 쉽게 생성하고 제어할 수 있도록 지원하는 관리형 서비스
- IAM과 완전히 통합하여 데이터에 액세스할 수 있는 사람과 대상을 쉽게 제어할 수 있으며 모든 암호화 키를 관리해줌
Amazon Macie
- 완전관리형 데이터 보안 및 데이터 프라이버시 서비스
- 머신러닝과 패턴 일치를 사용하여 S3에 저장된 민감한 정보인 PII(Personally Identifiable Information)를 검색, 보호, 경고
AWS Network Firewall
- 모든 Amazon VPC에 필수적인 네트워크 보호를 쉽게 배포할 수 있는 관리형 서비스
- 네트워크 방화벽의 유연한 규칙 엔진을 사용해 아웃바운드 서버 메시지 요청을 차단하여 악의적인 활동의 확산을 방지하는 등
네트워크 트래픽에 대한 세밀한 제어를 제공하는 방화벽 규칙을 정의할 수 있음
AWS Resource Access Manager (AWS RAM)
- AWS 계정 전체, AWS Organizations의 조직 또는 조직 단위 내,
그리고 지원되는 리소스 유형에 대한 IAM 역할 및 IAM 사용자와 리소스를 안전하게 공유할 수 있는 서비스 - 소유하고 있는 AWS 리소스를 다른 계정과 공유할 수 있게 하는 서비스이며
어떤 계정과도 공유 가능하고 조직 내 공유도 가능하여 여러 계정에서 중복 리소스를 생성할 필요가 없어 운영 오버헤드가 줄어듦 - 예) RAM을 통해 사설 VPC를 공유하여 사설 서브넷을 사용하고 보안 그룹을 수정해 액세스를 허용하여
여러 계정에 걸쳐 전체 네트워킹 계층을 공유하고 리소스들이 서로 통신하도록 할 수 있음
AWS Secrets Manager
- 애플리케이션, 서비스 및 IT 리소스에 대한 액세스를 보호하는데 도움이 되는 보안 정보 관리 서비스
- 보안을 더 쉽게 관리할 수 있고 암호에 더 집중되어 있는 서비스로 며칠에 한 번씩 강제로 암호를 순환시킬 수 있음
AWS Security Hub
- 보안 모범 사례를 확인하고, 경고를 집계하고, 자동화된 수정을 활성화하는 클라우드 보안 태세 관리 서비스
- AWS 계정, 서비스 및 지원되는 타사 파트너의 보안 결과를 중앙 집중화하고 우선 순위를 지정하여
보안 추세를 분석하고 가장 우선 순위가 높은 보안 문제를 식별하는데 도움
AWS Shield
- AWS에서 실행되는 웹 애플리케이션을 DDoS 공격으로부터 보호하는 관리형 서비스
- 두 가지 종류가 존재
1) AWS Shield Standard : SYN/UDP Floods, 반사 공격, 3계층/4계층 공격으로부터 보호
2) AWS Shield Advanced : DDoS 고격에 대한 완화 서비스를 제공하고 DDoS 대응 팀인 DRP에 항상 액세스 가능
AWS Single Sign-On
- AWS에서 인력 자격 증명을 한 번 생성하거나 연결하고 AWS 조직 전체에서 중앙 집중식으로 액세스를 관리하는 서비스
- 중앙에서 관리하여 싱글 사인온 포털에서 한 번 로그인하면 타사 애플리케이션에 액세스할 수 있으며
AWS Organizations와 통합되어 조직 내 많은 계정이 있는 경우 싱글 사인온을 설정해 조직 내 모든 계정에 한 번으로 로그인
AWS WAF
- 고객이 정의한 조건에 따라 웹 요청을 허용, 차단 또는 모니터링하는 규칙을 구성하여
공격으로부터 웹 애플리케이션을 보호하는 웹 애플리케이션 방화벽 서비스 - SQL 주입 또는 사이트간 스크립팅과 같은 일반적인 공격 패턴을 차단하는 보안 규칙과
특정 트래픽 패턴을 필터링하는 규칙을 생성하여 트래픽이 애플리케이션에 도달하는 방식을 제어할 수 있으므로
웹 취약성 공격으로부터 애플리케이션을 보호하는 방화벽이므로 7계층에 위치하며
애플리케이션 로드 밸런서, API Gateway, CloudFront 등에 배포될 수 있음
+) AWS 백서
'Certificate > AWS SAA-C03' 카테고리의 다른 글
| [SAA] AWS 서비스 및 기능 - 스토리지 (0) | 2022.08.14 |
|---|---|
| [SAA] AWS 서비스 및 기능 - 서버리스 (0) | 2022.08.14 |
| [SAA] AWS 서비스 및 기능 - 네트워킹 및 콘텐츠 전송 (0) | 2022.08.14 |
| [SAA] AWS 서비스 및 기능 - 마이그레션 및 전송 (0) | 2022.08.14 |
| [SAA] AWS 서비스 및 기능 - 미디어 서비스 (0) | 2022.08.13 |
