* AWS Cloud Practitioner Certification을 위한 보안 및 자격준수 부분 Keyword 정리 *
공동 책임 모델 (AWS Shared Responsibility Model)
1) AWS Responsibility
: 클라우드의 보안. 제공하는 모든 인프라에 대한 책임이 있음.
2) Customer Responsibility
: AWS로 부터 제공받은 서비스를 어떻게 사용하는지에 대한 책임. 클라우드 내의 보안
DDoS Attack
: 디도스 공격은 인프라 사으이 분산 서비스 거부 공격으로, Attacker가 app server에 과부하의 연결을 시도해 서버가 동작되지 않도록 하는 공격
DDoS Protection on AWS
1) AWS Shield Standard 사용
: 무료. 추가 비용 없기 모든 사용자에게 활성화 되어있음. web Site와 app을 디도스 공격으로부터 보호
2) AWS Shield Advanced
: 매월 3000달러, 고급 디도스 보호. 연중무휴(매일 24시간)로 제공
3) WAF
: 규칙에 따라 특정 요청을 필터링 (L7, HTTP)
4) CloudFront & Route53
: Shield와 결합하면 엣지 로케이션에서 공격을 완화
5) AutoScaling
: 공격을 이미 받았다면, 오토스케일링으로 스케일링을 해서 과부하되는 것을 막아야 함.
Penetration Testing (침투 테스팅)
: 자체 인프라를 공격해 보안을 테스트 하는 것. 테스트 대상 서비스에 대한 사용 권한은 필요 없음.
디도스 공격이나 DNS zone walking 포트 플러딩은 사용 권한이 없음
AWS KMS (Key Management Service)
: 암호와 키에 관한 엑세스 권한이 없으면, 데이터 엑세스 권한이 있어도 데이터를 해독하거나, 읽을 수 없음
데이터 암호화에 사용되는 암호화 키인 고객 마스터 키(CMK)를 쉽게 생성하고 제어할 수 있는 관리형 서비스
CloudHSM
: 클라우드 기반. AWS 클라우드 자체 암호화 키를 쉽게 생성하고, 사용할 수 있게 해주는 하드웨어 보안 모듈.
사용자가 직접 암호화 키를 관리함. AWS는 하드웨어만 관리.
ACM (AWS Certificate Manager)
: SSL 이나 TLS 인증서를 쉽게 관리 프로비저닝 및 배포할 수 있는 서비스.
전송 중 암호화나 인증서의 생성을 지원하는 서비스를 물을 때 ACM!
Secret Manager
: RDS에서 관리되고, 주기적으로 암호를 교체하도록 설정.
애플리케이션, 서비스 및 IT 리소스에 액세스하는 데 필요한 보안 비밀을 보호하는 데 도움이 됨.
AWS Artifact
: 규정 준수 보고서와 AWS 계약에 대해 온디멘드 액세스를 제공하는 포털.
해당 포털에서 제공되는 보고서는 사내 내부감사 및 규정 준수를 증명할 때 사용됨.
(실제 서비스는 아니지만, 콘솔에서는 서비스로 제공중)
Amazon GuardDuty
: AWS 계정을 보호하는 지능형 위협 탐지 서비스.
백엔드에서 머신러닝 알고리즘을 통해 이상 탐지 수행, 계정에 대한 공격 탐지.
암호화폐 공격 보호 가능!
Amzazon Inspector
: AWS 인프라의 자동 보안 평가 서비스. AWS에 배포된 어플리케이션의 보안 및 규정 준수 개선에 도움.
EC2와 ECR을 검사하여 어플리케이션의 노출, 취약성 등 자동으로 평가 후 위험도에 따라 우선 순위를 정함.
AWS Config
: 과거부터 현재까지 구성에 대해 발생한 변경 사항을 기록함으로써 리소스 규정 준수를 감사함.
AWS 리소스의 설정을 정기적으로 감사 및 평가하고, 비준수 계정을 식별/추적하며, 리소스가 변경되면 알림.
AWS Macie
: 완전 관리형 데이터 개인 정보 보호 서비스. S3 버킷 내에서 민감한 정보를 찾을 때 사용
AWS Security Hub (중앙 집중식 보안 위치)
: 중앙 보안 도구를 이용하여 여러 AWS 계정 전반에 대한 보안을 관리. (여러 계정을 쓰는 조직에 적합)
Amazon Detective
: 보안 문제 또는 의심스러운 활동의 근본적인 원인을 분석하고, 조사.
AWS Abuse (남용, 부정사용)
: AWS 내의 일부 리소스 즉, IP나 EC2 인스턴스의 부정 사용이나 불법적 목적의 사용
Root user privileges (루트 사용자 권한)
: 계정 소유자. AWS 서비스와 리소스 전체에 대한 Full Access 권한을 갖음.
Root 계정만 할 수 있는 권한
- 계정 이름, 이메일 주소, 루트 사용자 비밀번호, 루트 사용자 액세스 키 등을 변경 가능
- 계정 삭제 가능
- AWS Support 플랜을 변경 또는 취소가능
- 예약형 인스턴스 마켓플레이스 판매자로 등록 가능
- IAM 사용자 권한을 복원 가능
- 세금 계산서 열람 가능