AWS - 기초7. AWS 보안 서비스

AWS 보안 서비스 - WAF

Amazon WAF

WAF는 인터넷에서 사용되는 HTTP, HTTPS의 트래픽을 모니터링하고, 차단함으로써 고객에게 웹 어플리케이션을 보호하는 서비스. 

어플리케이션의 가용성에 영향을 끼치거나, 보안을 악화시키거나, 리소스를 과다하게 사용하는 것 등 여러가지 형태로 어플리케이션 계층에서의 웹공격을 보호해준다.

OWASP TOP10에 대응할 수 있으며, 보안 차단규칙을 설정할 수 있다.

Cloudfront, AP gateway, ALB(어플리케이션로드밸런스) 등에서 기본적으로 사용되도록 내부적으로 구성이 되어있다.

WAF의 차단 정책은 AWS에서 제공하는 관련 규칙을 추가하여 다양한 위협에 대해 보호가 가능하다.

사용자가 지정할 수도 있음. (특정 국가, ip, 헤더 등 차단규칙 설정가능)

 

AWS에서 제공하는 WAF 공식 아키텍쳐의 예시

WAF를 통해서 로그를 수집하고 수집한 로그를 분석하는 구성이다. AWS의 서비스간에 상호연동이 가능하기 때문에, 키네시스를 통해 데이터를 S3를 통하여 수집하고, 수집한 데이터를, 아테나가 직접 쿼리하거나, 아테나가 쿼리할 수 있도록 람다가 로그 데이터를 파싱해서 지속적인 보안 모니터링과 분석을 할 수 있다.

또한 CloudWatch이벤트를 람다를 통해 분석하여 의심이 가는 ip를 리스트를 받아오고, WAF 보안 규칙룰에 자동으로 적용하는 자동화 구현이 가능하다.

 

AWS 보안 서비스 - Shield

Amazon Shield

DDOS 공격을 차단하고, 모니터링 해주는 서비스

DDOS 공격은, 네트워크의 트래픽을 의도적으로 과다하게 키워서 컴퓨팅 자원을 과부화시키는 공격기법

DDOS 공격을 받게 되면, 해당 서비스는 트래픽 과부화 때문에 시스템 중단이나, 성능저하가 발생한다.

기본 온프라미스 환경에서는 DDOS 공격을 방지하기위해 장비나 솔루션을 구매에 상당한 투자를 해야하는데, AWS에서는 Shield 서비스를 Standard 형태로 기본적으로 무료로 제공하기 때문에, DDOS 공격에 기존적으로 대비가 되어있다.

Standard도 있지만 Advance 도 있다.

 

 

Standard는, L3/L4의 공격에만 대응이 가능하다. 즉 HTTP, HTTPS 통신을 통한 공격에 대해 대응하기 위해서는 Advanced유형을 사용해야한다, 이 유형 같은 경우에는 레포트를 제공하여 DDoS 대응팀의 지원이 있다.

또한 DDoS 공격으로 인하며 서비스가 기하급수적으로 확장이 되었거나, 트래픽양이 기하급수적으로 늘어났을 경우에, 환불이 가능하다

 

 AWS 보안 서비스 - KMS 

Amazon KMS

AWS에서 제공하는 키 관리 서비스

데이터를 보호하는데 사용하는 암호화키를 쉽게 생성하고, 제어할 수 있는 해주는 관리형 서비스 

AWS에서 사용하는 데이터들을 암호화하고, 복호화 해주며 디지털 서명을 생성할 수 있게 해준다. 

KMS는 3가지의 키 방식을 지원하는데 

AWS managed key의 경우 AWS에서 default로 제공하는 키로 내부적으로 자동관리 되고, 사용자 직접적으로 제어 불가하다. 따라서 키 관리에 제약사항이 있기 때문에 키를 활용하는 범위가 작을 때 선택적으로 사용한다

 

Customer managed key(CMK)의 경우 사용자가 직접 키를 생성하고 관리하는 방식이다. Iam을 통해 권한을 부여받아 키에대한 제어가 가능하기 때문에  AWS에서 일반적으로 많이 사용한다.

 

Custom key stores의 경우 AWS에서 제공하는 또다른 키 관리형 서비스인 cloud HSM을 활용해서 키를 관리하는 형태이다.

HSM은 키 관리 솔루션 EC2에 올려서 제공하는, 키 관리 솔루션이다. 솔루션을 사용한 키를 사용하기 때문에 보다 강력한 키 관리 제어가 가능하다.