AWS CLF — AWS 보안 서비스 총정리

Cloud
#aws#clf#cloud-practitioner#security

기본 철학: 공동 책임 모델 (Shared Responsibility Model)

  • 모든 AWS 보안의 시작입니다.
  • AWS 의 책임: 클라우드 자체의 보안 (데이터 센터, 하드웨어, 네트워크 등 기반 인프라)
  • 고객 의 책임: 클라우드 안에서의 보안 (데이터, OS, 방화벽 규칙, 접근 권한 등)

자격 증명 및 접근 제어 (Identity and Access Control)

AWS IAM (Identity and Access Management)

  • AWS 리소스에 대한 접근 권한을 안전하게 제어하는 서비스.
  • 핵심 역할 및 비유: ‘빌딩의 출입 관리 시스템 및 보안 데스크’입니다. 사용자(Users), 그룹(Groups), 역할(Roles)을 만들고, 이들에게 ‘어떤 층, 어떤 방에 들어가 무엇을 할 수 있는지’에 대한 권한 정책(Policy)을 부여합니다. AWS 보안의 가장 기본이자 핵심입니다.

네트워크 및 인프라 보호 (Network and Infrastructure Protection)

보안 그룹 (Security Group)

  • EC2 인스턴스 수준에서 작동하는 가상 방화벽.
  • 핵심 역할 및 비유: ‘각 사무실(EC2 인스턴스)의 방화문’입니다. 이 문에 ‘어떤 종류의 방문객(트래픽)이 들어오고 나갈 수 있는지’ 규칙을 설정합니다. 상태 저장(Stateful) 방식이라, 들어오는 것을 허용하면 나가는 것은 자동으로 허용됩니다.

네트워크 ACL (Network Access Control List)

  • 서브넷 수준에서 작동하는 가상 방화벽.
  • 핵심 역할 및 비유: ‘아파트 단지 입구의 경비 초소’입니다. 단지(서브넷)로 들어오고 나가는 모든 차량(트래픽)을 규칙에 따라 검사합니다. 상태 비저장(Stateless) 방식이라, 들어오는 규칙과 나가는 규칙을 각각 설정해야 합니다.

AWS WAF (Web Application Firewall)

  • SQL 인젝션, XSS 등 일반적인 웹 공격으로부터 웹 애플리케이션을 보호.
  • 핵심 역할 및 비유: ‘웹사이트 입구의 전문 경호원’입니다. 웹사이트로 들어오는 모든 요청을 검사하여 악의적인 공격 패턴을 가진 요청을 차단합니다.

AWS Shield

  • DDoS(분산 서비스 거부) 공격을 방어하는 서비스.
  • 핵심 역할 및 비유: ‘대규모 트래픽 공격을 막는 특수 방어 부대’입니다. 웹사이트를 마비시키려는 거대한 트래픽 홍수를 막아내는 데 특화되어 있습니다.
  • AWS 실드 (AWS Shield Standard)
  • 모든 AWS 고객에게 무료로, 그리고 자동으로 활성화되는 기본적인 DDoS 보호 서비스
  • AWS Shield 어드밴스드 (AWS Shield Advanced)
  • 월별 요금을 내고 사용하는 유료 프리미엄 DDoS 보호 서비스입니다. Standard의 모든 기능을 포함하며, 훨씬 더 강력하고 정교한 보호 기능을 제공합니다.

위협 탐지 및 모니터링 (Threat Detection and Monitoring)

Amazon GuardDuty

  • AWS 계정 및 워크로드에 대한 지능형 위협 탐지 서비스.
  • 핵심 역할 및 비유: ‘지능형 보안 관제 센터(SOC) 분석가’입니다. 각종 로그(CloudTrail, VPC Flow Logs, DNS Logs)를 자동으로 분석하여, 해킹 시도, 계정 탈취, 악성코드 감염 같은 이상 징후를 지능적으로 탐지하고 경고합니다.

Amazon Inspector

  • EC2 인스턴스 등의 취약점을 자동으로 검사하는 서비스.
  • 핵심 역할 및 비유: ‘건물 안전 점검관’입니다. 실시간 침입을 감시하는 것이 아니라, 주기적으로 건물(EC2)을 방문하여 잠기지 않은 창문(보안 패치 누락), 가스 밸브 노출(불필요한 포트 개방) 등 ‘알려진 취약점’을 찾아내 보고서를 제출합니다.

AWS CloudTrail

  • AWS 계정의 모든 API 활동을 기록하는 감사 로그.
  • 핵심 역할 및 비유: ‘빌딩의 모든 활동을 기록하는 CCTV’입니다. “언제, 누가, 어떤 IP 주소에서, 무슨 작업(EC2 생성, S3 파일 삭제 등)을 했는지” 모든 기록을 남깁니다.

데이터 보호 (Data Protection)

AWS KMS (Key Management Service)

  • 암호화 키를 쉽게 생성하고 제어하는 관리형 서비스.
  • 핵심 역할 및 비유: ‘최첨단 금고의 열쇠 관리 시스템’입니다. 데이터를 암호화하는 데 사용되는 ‘암호화 키’를 안전하게 생성, 저장, 관리, 사용하는 것을 도와줍니다.

AWS Secrets Manager

  • 데이터베이스 암호, API 키 등 ‘비밀 정보(Secret)’를 관리하고 자동 교체.
  • 핵심 역할 및 비유: ‘디지털 비밀 금고 & 암호 관리인’입니다. 암호를 코드에 하드코딩하는 대신, 이곳에 안전하게 보관하고 필요할 때마다 애플리케이션이 물어보게 합니다. 암호를 자동으로 교체(Rotation)해주는 강력한 기능이 있습니다.

Amazon Macie

  • S3에 저장된 데이터 중 민감한 데이터를 식별하고 보호하는 서비스.
  • 핵심 역할 및 비유: ‘중요 서류를 찾아내는 AI 스캐너’입니다. S3 버킷을 스캔하여 주민등록번호, 신용카드 번호와 같은 개인 식별 정보(PII)나 중요 데이터가 어디에 저장되어 있는지 찾아내고 경고해 줍니다.

중앙 관리 및 거버넌스 (Central Management and Governance)

AWS Firewall Manager

  • 여러 계정에 걸쳐 방화벽 규칙을 중앙에서 관리하고 배포.
  • **핵심 역할 및 비유: **‘보안팀 본부장’입니다. WAF, Shield Advanced, 보안 그룹 규칙을 본사에서 만들어, 전 지점(모든 계정)에 일괄적으로 적용하고 관리합니다.

AWS Security Hub

  • 여러 AWS 보안 서비스의 경고 및 결과를 한곳에 모아 보여주는 대시보드.
  • 핵심 역할 및 비유: ‘통합 보안 상황실 대시보드’입니다. GuardDuty의 위협 탐지, Inspector의 취약점 보고, Macie의 민감 데이터 발견 등을 하나의 화면에서 종합적으로 보고 관리할 수 있게 해줍니다.

AWS Artifact

  • AWS Artifact는 AWS의 보안 및 규정 준수 관련 공식 문서들을 한 곳에서 찾아보고 다운로드할 수 있는 셀프서비스 포털
  • Artifact는 클라우드 자체의 보안(Security OF the Cloud)이 검증되었음을 증명하여, 고객이 클라우드 안에서의 보안(Security IN the Cloud)에만 집중할 수 있도록 도와주는 중요한 서비스

주요 문서 2가지

  • 보고서 (Reports) : AWS가 다양한 글로벌, 지역별, 산업별 표준을 준수하고 있음을 증명하는 제3자의 감사 보고서를 제공

계약 (Agreements)

  • 특정 규정을 준수하기 위해 고객과 AWS 간에 필요한 법적 계약을 검토하고 체결하는 기능