[AWS] Security, Identity & Compliance Services

보안, 자격 증명 및 규정 준수(Security, Identity & Compliance)

최초 작성 일자: 2023-04-02
수정 내역:
- 2023-04-02: 최초 작성

AWS Identity and Access Management(IAM)

서비스 및 리소스에 대한 액세스를 안전하게 관리
AWS 서비스 및 리소스에 대한 액세스와 ID를 안전하게 관리

사용 이유

인력 및 워크로드에 대한 가드레일과 세분화된 액세스 제어를 설정하고 관리한다.
단일 AWS 계정에서 ID를 관리하거나 중앙에서 여러 AWS 계정에 ID를 연결한다.
AWS 리소스에 액세스하는 워크로드에 대한 임시 보안 인증 정보를 부여한다.
액세스를 지속적으로 분석하여 여정에 적합한 최소 권한을 설정한다.

작동 방식

AWS Identity and Access Management(IAM)를 사용하면 AWS의 서비스 및 리소스에 액세스할 수 있는 주체를 지정하고 세분화된 권한을 중앙에서 관리하며 액세스 권한을 분석하여 AWS 전체의 권한을 세분화할 수 있다.

사용 사례

세분화된 권한을 적용하고 속성 기반 액세스 제어를 통해 조정: 속성 기반 액세스 제어를 사용하여 부서, 직무 및 팀 이름과 같은 사용자 속성을 기준으로 세분화된 권한을 만든다.
계정별 액세스를 관리하거나 AWS 계정 및 애플리케이션의 액세스 규모를 조정: IAM으로 계정별 아이덴티티를 관리하거나 AWS IAM Identity Center를 사용하여 AWS 전체에서 다중 계정 액세스 및 애플리케이션 할당을 제공한다.
AWS에서 전사적 예방 가드레일 설정: 서비스 제어 정책(SCPs)을 사용하여 IAM 사용자 및 역할에 대한 권한 가드레일을 설정하고 AWS Organizations의 계정에 대한 데이터 경계를 구현한다.
최소 권한을 중심으로 적절한 권한 설정, 확인 및 규모 지정: 권한 관리를 간소화하고 교차 계정 결과를 사용하여 최소 권한을 위한 정책을 설정 및 확인하고 세분화한다.

Amazon Cognito

앱을 위한 자격 증명 관리
안전하고 마찰 없는 확장 가능한 고객 ID 및 액세스 관리 구현

사용 이유

비용 효율적이고 사용자 정의 가능한 플랫폼을 통해 마찰 없는 고객 자격 증명 및 액세스 관리(CIAM)를 제공할 수 있다.
적응형 인증, 지원 규정 준수, 데이터 레지던시 요구 사항과 같은 보안 기능을 추가할 수 있다.
신뢰할 수 있는 완전관리형 고성능 아이덴티티 스토어를 사용하여 수백만 명의 사용자 수준으로 확장할 수 있다.
OIDC 또는 SAML 2.0을 사용하여 로그인을 연동하고 광범위한 AWS 서비스 및 제품 그룹에 연결할 수 있다.

작동 방식

Amazon Cognito를 사용하면 사용자 가입 및 로그인 기능을 추가하고 웹 및 모바일 애플리케이션에 대한 액세스를 제어할 수 있다.
Amazon Cognito는 수백만 명의 사용자 규모로 확장되고 소셜 및 엔터프라이즈 아이덴티티 페더레이션을 지원하며 고급 보안 기능으로 소비자와 비즈니스를 보호하는 ID 스토어를 제공한다.
Amazon Cognito는 개방형 ID 표준을 기반으로 구축되었기 때문에 다양한 규정 준수 규제를 지원하고 프론트엔드 및 백엔드 개발 리소스와 통합된다.

사용 사례

유연한 인증으로 고객 참여 유도: 고객이 직접 또는 소셜 또는 엔터프라이즈 ID 제공자를 통해 사용자의 브랜딩이 포함된 호스팅 UI에 로그인할 수 있다.
B2B ID 관리: 비즈니스에 다양한 수준의 정책 및 테넌트 격리를 제공하는 다양한 멀티 테넌시 옵션을 사용한다.
안전한 머신 대 머신 인증: 안전한 마이크로서비스 기반 최신 애플리케이션을 개발하고 애플리케이션을 백엔드 리소스 및 웹 서비스에 보다 쉽게 연결할 수 있다.
AWS 리소스에 대한 역할 기반 액세스 가능: Amazon S3, Amazon DynamoDB 및 AWS Lambda와 같은 AWS 서비스에 대해 안전하게 역할 기반으로 액세스할 수 있다.

Amazon Detective

잠재적 보안 문제 조사
잠재적인 보안 문제를 조사하기 위해 보안 데이터를 분석하고 시각화한다.

사용 이유

사용자 및 리소스 상호 작용의 통합 보기를 통해 잠재적인 보안 문제를 확인한다.
AWS에서 실행되는 보안 관련 관계를 자동으로 요약하는 그래프 모델로 시간과 노력을 절약한다.
간소화된 시각화를 통해 보안 결과를 조사하고 대응한다.

작동 방식

Amazon Detective는 조사 프로세스를 간소화하고 보안 팀이 더 빠르고 효과적인 조사를 수행하도록 돕는다.
Amazon Detective 사전 구축된 데이터 집계, 요약 및 컨텍스트를 사용하여 가능한 보안 문제의 특성과 범위를 신속하게 분석하고 결정할 수 있다.

사용 사례

보안 결과 분류: AWS Identity and Access Management(IAM) 역할, 사용자, IP 주소 및 AWS 계정을 조사하여 의심스러운 결과를 확인하거나 반증한다.
인시던트 조사: 관련 과거 활동 패턴을 분석하여 악성 활동의 범위, 그 영향 및 근본적인 원인을 파악한다.
위협 추적: Amazon EC2 인스턴스와 같은 특정 리소스에 집중하고 관련 활동의 상세한 시각화를 검토한다.

Amazon GuardDuty

관리형 위협 탐지 서비스관리형 위협 탐지 서비스
지능형 위협 탐지로 AWS 계정을 보호

사용 이유

AWS 계정, 인스턴스, 컨테이너 워크로드, 사용자, 데이터베이스 및 스토리지에서 잠재적 위협 요소를 지속적으로 모니터링할 수 있다.
이상 탐지, 기계 학습, 동작 모델링 및 AWS와 선도적인 서드 파티의 위협 인텔리전스 피드를 사용하여 위협을 빠르게 노출할 수 있다.
자동 대응을 시작하여 위협을 조기에 완화할 수 있다.

작동 방식

Amazon GuardDuty는 AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 상세한 보안 결과를 제공하여 가시성 및 해결을 촉진하는 위협 탐지 서비스다.

사용 사례

보안 운영 가시성 개선: 손상된 보안 인증 정보, Amazon S3 내 비정상적인 데이터 액세스, Amazon Aurora의 의심스러운 로그인 및 악의적인 것으로 알려진 IP 주소에서의 API 호출 등에 대한 인사이트를 확보한다.
보안 전문가의 조사 지원: 컨텍스트, 메타데이터 및 영향을 받은 리소스 세부 정보가 포함된 이벤트 결과를 받고 GuardDuty 콘솔을 Amazon Detective와 통합하여 근본 원인을 파악한다.
맬웨어가 포함된 파일 식별: Amazon EBS를 스캔하여 Amazon EC2에서 실행되는 인스턴스 및 컨테이너 워크로드에 의심스러운 동작을 야기하는 맬웨어가 포함되었을 수 있는 파일을 찾는다.
보안 결과에 대한 유용한 정보를 라우팅: Amazon Security Hub와 Amazon EventBridge를 통합하여 기본 설정된 운영 도구로 결과를 라우팅한다.

Amazon Inspector

취약성 관리 자동화
규모에 맞는 지속적인 자동 취약성 관리

사용 이유

클릭 한 번으로 AWS 워크로드에서 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 즉시 발견하고 스캔한다.
Amazon EC2, AWS Lambda 함수 및 Amazon ECR의 컨테이너 이미지에 대한 취약성 관리 솔루션을 하나의 완전관리형 서비스로 통합한다.
고도로 정확한 Inspector 위험 점수를 사용하여 문제 해결의 우선순위를 효율적으로 지정한다.
Amazon EventBridge 및 AWS Security Hub 통합으로 MTTR(평균 문제 해결 시간) 취약성을 줄이고 워크플로를 간소화한다.

작동 방식

Amazon Inspector는 소프트웨어 취약성 및 의도하지 않은 네트워크 노출에 대해 AWS 워크로드를 지속적으로 스캔하는 자동화된 취약성 관리 서비스다.

사용 사례

컴퓨팅 워크로드의 취약성을 신속하게 발견: 취약성을 자동으로 발견하고 거의 실시간으로 해당 팀에 신속하게 결과를 전달하여 즉각적인 조치를 취할 수 있도록 한다.
패치 수정 우선순위 지정: 취약한 리소스의 우선 위를 지정하고 해결하는 데 도움이 되는 컨텍스트 기반 위험 점수를 생성하기 위해 네트워크 접근성과 같은 요소와 결합된 최신 CVE(Common Vulnerabilities and Exposures) 정보를 사용한다.
규정 준수 요구 사항 충족: Amazon Inspector 스캔으로 NIST CSF, PCI DSS 및 기타 규정에 대한 규정 준수 요구 사항 및 모범 사례를 지원한다.
더 빠르게 제로 데이 취약성 식별: 50여 개의 취약성 인텔리전스 소스로 제로 데이 취약성을 신속하게 식별하여 MTTR을 가속화한다.

Amazon Macie

민감한 데이터를 대규모로 검색 및 보호

사용 이유

민감한 데이터 검색을 규모에 따라 자동화할 수 있다.
Amazon S3에 저장된 민감한 데이터에 대해 비용 효율적인 가시성을 확보할 수 있다.
Amazon S3 버킷 인벤토리의 보안 및 액세스 제어를 평가할 수 있다.
Amazon S3에서 발견된 민감한 데이터에 대한 정보를 실천 가능한 보고 형식으로 제공함으로써 분류 시간을 단축해준다.

작동 방식

Amazon Macie는 데이터 보안 및 데이터 프라이버시 서비스로서, 기계 학습(ML) 및 패턴 일치를 활용하여 민감한 데이터를 검색하고 보호한다.

사용 사례

데이터 보안 태세 강화: S3 환경 전반에서 민감한 데이터를 검색하여 가시성을 높이고 데이터 보안 리스크를 자동으로 해결한다.
규정 준수를 위한 민감한 데이터 검색: 민감한 데이터가 검색되고 보호되는지 확인하는 데이터 분석을 예약한다.
마이그레이션 중에 민감한 데이터 보호: 데이터 수집 중에 민감한 데이터가 적절하게 보호되었는지 확인한다.
비즈니스 크리티컬 데이터의 가시성 개선: S3 버킷에 저장된 모든 중요 데이터를 자동으로 지속적으로 모니터링한다.

Amazon Security Lake

클릭 몇 번으로 보안 데이터를 자동으로 중앙 집중화
몇 단계로 보안 데이터를 자동으로 중앙 집중화

사용 이유

보안 데이터에 대한 제어권과 소유권을 유지하면서 선호하는 분석 도구를 사용할 수 있다.
모든 계정과 리전에서 클라우드 및 온프레미스 소스의 데이터 가시성을 한 곳으로 집중시킬 수 있다.
데이터를 개방적 표준으로 정규화하여 더욱 효율적으로 공유하고 여러 분석 도구에 함께 사용할 수 있다.
보안 데이터를 개선, 관리함으로써 스토리지와 쿼리의 효율성을 높일 수 있다.

작동 방식

Amazon Security Lake는 클라우드, 온프레미스 및 사용자 지정 소스의 보안 데이터를 계정에 저장된 중앙의 목적별 데이터 레이크에 자동 수집한다.
Security Lake를 사용하면 조직 전반의 보안 데이터를 보다 완벽하게 이해할 수 있으며, 워크로드, 애플리케이션 및 데이터 보호 방식도 개선할 수 있다.
Security Lake에는 개방형 표준인 Open Cybersecurity Schema Framework(OCSF)가 채택되었다.
OCSF를 지원하므로 이 서비스는 AWS 및 광범위한 엔터프라이즈 보안 데이터 소스의 보안 데이터를 정규화하고 결합할 수 있다.

사용 사례

다년간의 보안 데이터를 빠르게 분석: Amazon S3 버킷에 수년간 축적된 클라우드, 온프레미스 및 사용자 지정 데이터를 중앙 집중화하고 원하는 도구를 사용하여 보안 분석을 수행한다.
페타바이트 규모의 데이터에 대한 온디맨드 분석 지원: 데이터 레이크를 구축하여 보안 조사 및 신속한 인시던트 대응 시나리오를 지원한다.
맞춤형 분석을 통해 데이터 검토: 보안 팀이 맞춤형 분석 모델을 사용하여 의심스러운 활동을 조사하고 대응할 수 있도록 광범위한 가시성을 제공한다.
중앙 집중식 데이터에 선호하는 도구 사용: 데이터를 복제할 필요 없이 선호하는 분석 도구를 사용하여 조직의 여러 팀이 데이터에 액세스하는 프로세스를 간소화한다.

Amazon Verified Permissions

애플리케이션에 대한 권한과 승인을 세부적으로 조정
맞춤형 애플리케이션 내에서 세부 권한 및 권한 부여를 관리한다.

사용 이유

승인과 비즈니스 로직을 분리함으로써 애플리케이션 개발을 가속화한다.
중앙 집중형 권한 및 정책 수명 주기 관리를 통해 시간과 리소스를 절약한다.
해당 권한이 의도대로 작동하는지 확인하기 위한 자동화된 분석을 사용하여 대규모 규정 준수 감사를 단순화한다.
동적인 실시간 승인 결정으로 제로 트러스트 아키텍처를 지원하는 애플리케이션을 구축한다.

작동 방식

Amazon Verified Permissions는 맞춤형 애플리케이션을 위한 확장 가능하며 세분화된 권한 관리 및 인증 서비스다.
이 서비스는 맞춤형 애플리케이션에 대한 세부 권한을 중앙에서 관리하며, 개발자가 애플리케이션 내에서 사용자 작업을 승인하도록 지원한다.
Amazon Verified Permissions는 Cedar 정책 언어를 사용하여 애플리케이션 사용자의 세부 권한을 정의한다.

사용 사례

세분화된 권한 부여 모델 정의: 템플릿을 사용하여 정책을 생성하고 Amazon API Gateway와 AWS AppSync내에서 해당 제어 설정을 적용한다.
애플리케이션 내에서 세분화된 권한 부여: 관리자가 전체 애플리케이션에 적용되는 정책을 생성할 수 있으며, 개발자는 데이터 및 리소스에 액세스할 수 있는 권한을 사용자에게 부여할 수 있다.
여러 애플리케이션에서 권한 감사: Amazon Verified Permissions를 사용하여 정책 모델 변경 사항을 검토하고 권한 부여 요청을 모니터링한다.
정책 관리 시스템을 중앙 집중화: 정책 기반 액세스 제어를 생성하고 중앙에서 저장하며, 밀리초 단위의 빠른 처리 속도로 애플리케이션 지연 시간 요구 사항을 충족한다.

AWS Artifact

AWS의 규정 준수 보고서에 대한 온디맨드 액세스
AWS 및 (평가판) ISV 보안 및 규정 준수 보고서에 액세스

사용 이유

셀프 서비스 포털에서 AWS 및 Independent Software Vendor(ISV) 규정 준수 보고서에 온디맨드 방식으로 액세스할 수 있어 시간을 절약한다.
AWS와의 규정 준수 계약을 온디맨드로 동의하고 해지하고 다운로드한다.
AWS의 규정 준수 및 보안 태세를 파악하여 워크로드 배포의 자신감을 높일 수 있다.

작동 방식

AWS Artifact는 자신에게 해당되는 규정 준수와 관련된 정보를 제공하는 신뢰할 수 있는 중앙 리소스다.
AWS Marketplace에서 제품을 판매하는 ISV와 AWS의 보안 및 규정 준수 보고서에 온디맨드로 액세스할 수 있다.

사용 사례

AWS 보안 및 규정 준수 태세 이해: 포괄적인 리소스에서 감사자가 발행한 보고서, 자격 증명, 인증서 및 기타 AWS의 서드 파티 증명 자료를 활용할 수 있다.
선택한 온라인 계약을 대규모로 관리: AWS와의 계약을 검토, 동의 및 관리하고 조직 내의 현재 및 미래 계쩡에 적용한다.
서드 파티 보안 및 규정 준수 정보 액세스: AWS Marketplace에서 제품을 판매하는 ISV의 보안 및 규정 준수 보고서에 대한 온디맨드 액세스를 통해 실사를 수행한다.

AWS Audit Manager

AWS 사용량의 지속적인 감사
AWS 사용량을 지속적으로 감사하여 위험 및 규정 준수 평가를 간소화

사용 이유

사전 구축된 프레임워크와 사용자 지정 프레임워크를 통해 AWS 사용량 및 제어를 매핑할 수 있다.
자동화된 증거 수집을 통해 시간을 절약하고 제어가 제대로 작동하는지 확인하는 데 집중할 수 있다.
팀 간 협업을 간소화하고 읽기 전용 권한을 통해 감사의 무결성을 보장할 수 있다.

작동 방식

AWS Audit Manager를 사용하면 미리 구축된 사용자 지정 프레임워크와 자동화된 증거 수집을 통해 규정 준수 요구 사항을 AWS 사용량 데이터에 매핑할 수 있다.

사용 사례

수동 증거 수집에서 자동 증거 수집으로 전환: 자동화된 증거 수집을 이용하면 증거를 수집, 검토 및 관리할 필요가 없다.
규정 준수를 평가하기 위한 지속적인 감사: 자동으로 증거를 수집하고, 규정 준수 상태를 모니터링하며, 제어를 미세 조정하여 위험을 사전에 줄인다.
내부 위험 평가 배포: 사전 구축된 프레임워크를 처음부터 사용자 지정한 다음 평가를 시작하여 자동으로 증거를 수집한다.

AWS Certificate Manager

SSL/TLS 인증서 프로비저닝, 관리 및 배포
AWS 서비스 및 연결된 리소스를 통해 SSL/TLS 인증서를 프로비저닝하고 관리

사용 이유

인증서 획득 프로세스를 간소화할 수 있다.
ACM 통합 서비스를 통해 무료 인증서를 사용할 수 있다.
관리형 인증서를 갱신할 수 있다.
인증서에 키 관리를 사용할 수 있다.

작동 방식

AWS Certificate Manager(ACM)를 사용하면 AWS 서비스 및 연결된 내부 리소스에 사용할 공인 및 사설 SSL/TLS 인증서를 프로비저닝, 관리 및 배포할 수 있다.
ACM은 SSL/TLS 인증서를 구매, 업로드 및 갱신하는 데 드는 시간 소모적인 수동 프로세스를 대신 처리해준다.

사용 사례

웹 사이트 보호 및 보안: 웹사이트 또는 애플리케이션에 대한 트래픽을 안전하게 차단할 수 있도록 인증서를 프로비저닝하고 관리한다.
내부 리소스 보호: 프라이빗 네트워크상에서 서버, 모바일 및 IoT 디바이스, 애플리케이션 등 연결된 리소스 간 통신을 보호한다.
가동 시간 향상: 자동 인증서 관리를 통해 인증서 갱신 등의 SSL/TLS 인증서 유지 관리 작업을 수행한다.

AWS CloudHSM

규제 준수를 위한 하드웨어 기반 키 스토리지
AWS의 단일 테넌트 하드웨어 보안 모듈(HSM) 관리

사용 이유

전용 FIPS 140-2 레벨 3 단일 테넌트 HSM 인스턴스에서 암호화 키를 생성하고 사용할 수 있다.
높은 신뢰성과 짧은 지연 시간으로 워크로드를 배포하고 규정 준수를 충족할 수 있도록 지원한다.
시간당 비용을 지불하고, 필요 없을 때 HSM을 백업하고 종료할 수 있다.
HSM를 클러스터에 추가하고 제거하여 HSM 용량을 관리하고 비용을 제어할 수 있다.

작동 방식

AWS CloudHSM은 데이터 보안에 대한 기업, 계약 및 규제 관련 규정 준수 요구 사항을 충족하는 데 도움이 된다.

사용 사례

저장 데이터 암호화: 데이터를 보호하고 규정을 준수한다.
웹 서버용 SSL 처리 오프로드: SSL 및 TLS를 사용하여 인터넷을 통해 웹 서비스 ID를 확보하고 보안 HTTPS 연결을 설정한다.
발행 CA의 개인 키 보호: 개인 키를 보호 및 보관하고 인증서 요청에 서명하여 발행 인증 기관(CA)으로서 안전하게 조치할 수 있다.
Oracle 데이터베이스용 TDE 활성화: 지원되는 Oracle 데이터베이스 서버에 대한 투명한 데이터 암호화(TDE) 암호화 키를 저장한다.

AWS Directory Service

Active Directory 호스팅 및 관리
완전관리형 Microsoft Active Directory 서비스로 효율성 개선

사용 이유

운영, 가용성, 유지 보수, 온프레미스 워크로드 관리를 간소화할 수 있다.
디렉터리 인식 워크로드를 AWS로 안전하게 마이그레이션하여 출시 기간을 단축할 수 있다.
AWS 리소스에 액세스할 수 있는 기존 보안 인증 정보를 사용하여 마찰 없는 사용자 환경을 제공할 수 있다.
향상된 Active Directory(AD) 모니터링, 로깅, 네트워킹을 통해 보안 태세 및 복원력을 개선할 수 있다.

작동 방식

AWS Directory Service for Microsoft Active Directory(AWS Managed Microsoft AD)는 디렉터리 인식 워크로드 및 AWS 리소스에 관리형 AD on AWS를 사용할 수 있도록 한다.

사용 사례

관리형 서비스로 관리 작업을 간소화: 패치, 소프트웨어 업데이트, 자동 도메인 컨트롤러 교체가 포함된 고가용성의 관리형 인프라로 이동한다.
디렉터리 인식 워크로드 마이그레이션: Microsoft AD 인식 및 비 Microsoft 디렉터리 인식 워크로드를 온디맨드 방식으로 사용할 수 있도록 하여 출시 기간을 단축할 수 있다.
온프레미스 보안 인증 통합: Amazon Connect, Amazon QuickSight, Amazon WorkSpaces 및 타사 비즈니스 애플리케이션과 같은 AWS 리소스에 대한 원활한 사용자 액세스를 제공한다.
디렉터리 글로벌 확장: 여러 AWS 리전 및 AWS 계정 간에 단일 디렉터리를 배포하여 AD 인식 애플리케이션 및 AWS 서비스에 액세스한다.

AWS Firewall Manager

중앙에서 방화벽 규칙 관리
계정 전체의 방화벽 규칙을 중앙에서 구성하고 관리

사용 이유

중앙의 관리 계정을 사용하여 여러 AWS 계정의 방화벽 규칙을 관리할 수 있다.
애플리케이션에 사전 구성된 WAF 규칙과 같은 관리형 규칙을 계정 간에 배포할 수 있다.
정의된 보안 정책을 기존 및 새로 생성된 리소스 간에 자동으로 적용할 수 있다.
기준 보안 그룹 규칙을 중앙 집중식으로 배포하여 Virtual Private Cloud(VPC)를 보호할 수 있다.

작동 방식

AWS Firewall Manager는 AWS Organizations의 여러 계정과 애플리케이션에 대한 방화벽 규칙을 중앙에서 구성하고 관리할 수 있는 보안 관리 서비스다.
Firewall Manager를 사용하면 새로운 애플리케이션이 생성될 때 이러한 애플리케이션 및 리소스가 공통 보안 규칙 세트를 손쉽게 준수하도록 할 수 있다.

사용 사례

EC2 인스턴스에서 호스팅되는 애플리케이션 보호: 공통 보안 그룹 정책을 사용하여 기본 보안 그룹 규칙 집합을 시행하고 애플리케이션별 규칙도 배포한다.
데이터 보호를 위해 대규모 도구 배포: AWS Organizations 구조의 계쩡 및 VPC에 공통 보안 정책을 사용하여 방화벽을 생성, 구성 및 유지 관리한다.
지속적인 리소스 감사: 사용되지 않거나 중복된 보안 그룹을 감사 및 정리하고, 보안 그룹 규칙을 감사 및 제어하여 고위험 규칙을 식별한다.

AWS Key Management Service(AWS KMS)

암호화 키의 제어 및 생성 관리
데이터를 암호화하거나 디지털 서명할 때 사용하는 키를 생성 및 제어

사용 이유

중앙에서 키를 관리하고 통합 서비스 및 애플리케이션 전체의 정책을 단일 지점에서 정의한다.
AWS Encryption SDK 데이터 암호화 라이브러리를 사용하여 애플리케이션 내의 데이터를 암호화한다.
비대칭 키 페어를 사용하여 디지털 서명을 검증하는 서명 작업을 수행한다.
메시지 무결성 및 신뢰성을 확인하는 해시 기반 메시지 인증 코드(HMAC)를 안전하게 생성한다.

작동 방식

AWS Key Management Service(AWS KMS)를 사용하면 애플리케이션과 AWS 서비스 전체에서 암호화 키를 생성, 관리 및 제어할 수 있다.

사용 사례

저장 데이터 보호: AWS KMS에서 사용자가 제어하고 관리하는 KMS 키를 사용하여 서버 측 암호화를 활성화한다.
데이터 암호화 및 복호화: AWS Encryption SDK를 사용하여 애플리케이션의 암호화 작업을 안전하게 처리한다.
디지털 서명의 서명 및 확인: AWS KMS에서 비대칭 KMS 키를 사용하여 서명 작업을 보호한다.
HMAC을 사용하여 JSON 웹 토큰 검증: AWS KMS를 사용하여 메시지 무결성 및 인증을 확인하기 위한 HMAC을 생성한다.

AWS Network Firewall

VPC 보호를 위한 네트워크 보안
VPC 전반에 네트워크 방화벽 보안 배포

사용 이유

네트워크 방화벽을 자동으로 확장하여 관리형 인프라를 보호할 수 있다.
수천 개의 사용자 정의 규칙을 정의할 수 있는 유연한 방화벽 엔진으로 고유한 워크로드를 보호할 수 있다.
기존 계정과 VPC의 보안 정책을 한 곳에서 관리하고 새로운 계정에 필수 정책을 자동으로 적용할 수 있다.

작동 방식

AWS Network Firewall을 사용하면 네트워크 트래픽을 세부적으로 제어하는 방화벽 규칙을 정의할 수 있다.
Network Firewall은 AWS Firewall Manager와 연동되므로, Network Firewall 규칙을 기반으로 정책을 구축한 후 해당 정책을 중앙에서 Virtual Private Cloud(VPC) 및 계정 전반에 적용할 수 있다.

사용 사례

VPC 간 트래픽 검사: VPC 간 트래픽을 검사하고 이를 제어하여 민감한 애플리케이션 또는 개별 사업부 워크로드를 호스팅하는 네트워크를 논리적으로 분리한다.
아웃바운드 트래픽 필터링: 아웃바운드 트래픽 필터링 기능을 배포하여 데이터 손실을 방지하고 규정 준수 요구 사항을 충족하며 알려진 맬웨어 커뮤니케이션을 차단한다.
인바운드 인터넷 트래픽 침입 방지: 상태 유지 검사, 프로토콜 탐지 등의 기능을 사용하여 활성 트래픽 흐름을 검사한다.
AWS Direct Connect 및 VPN 트래픽 보안: Direct Connect와 VPN 트래픽을 AWS Transit Gateway에서 지원하는 클라이언트 디바이스 및 온프레미스 환경으로부터 보호한다.

AWS Private CA

리소스를 식별하고 데이터를 보호하기 위한 사설 인증서 생성

사용 이유

서버, 애플리케이션, 사용자, 디바이스 및 컨테이너를 포함한 내부 리소스를 식별하고 보호하기 위한 다용도 인증서 및 인증 기관(CA) 구성을 생성한다.
견고한 보안 기반에서 구축하여 데이터를 보호하고 리소스를 식별하며 규제 및 규정 준수 요구 사항을 충족한다.
API 호출, AWS CLI 명령 또는 AWS CloudFormation 템플릿을 사용하여 CA 및 인증서 관리를 자동화하여 중단을 방지하고 가동 시간을 개선한다.

작동 방식

AWS Private Certificate Authority(AWS Private CA)는 조직에서 사설 인증서를 사용하여 애플리케이션 및 디바이스를 보호하는 데 도움이 되는 고가용성의 다용도 CA다.

사용 사례

인증서 발급 자동화 및 조정: API 및 SDK를 사용하여 내부 서버, 컨테이너, 사용자, 인스턴스 및 IoT 디바이스를 식별하고 보호하기 위한 인증서를 발급한다.
Kubernetes용 보안 TLS 설정: Kubernetes 클러스터의 전송 중 데이터와 포드 간 통신을 암호화한다.
프라이빗 네트워크에 TLS 및 상호 TLS 사용: AWS의 리소스와 AWS 외부의 온프레미스 프라이빗 네트워크에 TLS를 사용한다.
보안 서비스 메시 생성: 서비스 메시의 마이크로서비스 간 통신을 인증하고 암호화한다.

AWS Resource Access Manager

AWS 리소스를 공유하는 간단하고 안전한 서비스
여러 계정에서 AWS 리소스를 간편하고 안전하게 공유

사용 이유

공유된 리소스 전반에서 보안 및 액세스 제어를 간소화할 수 있다.
중앙 계정에서 조직 내의 AWS 리소스 관리를 간소화할 수 있다.
리소스를 한 번 생성하고 여러 계정에서 공유하여 오버헤드 및 비용을 줄일 수 있다.

작동 방식

AWS RAM을 사용하면 지원되는 리소스 유형에 대해 AWS 계정 전체에서, 조직 또는 조직 단위(OU) 내에서 IAM 역할 및 사용자와 안전하게 리소스를 공유할 수 있다.

사용 사례

다중 계정 환경에서 리소스 공유: 계정 간에 Amazon VPC 서브넷과 같은 기본 인프라를 공유하여 여러 계정에서 동일한 서브넷에 애플리케이션 리소스를 배포할 수 있다.
리소스 액세스 권한 중앙 관리: 사설 인증 기관처럼 리소스를 중앙에서 관리하여 여러 계정 간에 인증서가 발급되도록 하여 비용을 관리하고 운영 부담을 경감한다.
공유 리소스에 대한 최소 권한: AWS RAM 관리형 권한을 사용하여 공유 리소스 작업을 완료하는 데 필요한 권한을 최소로 부여한다.

AWS Secrets Manager

보안 정보를 교체, 관리 및 검색
보안 암호의 수명 주기를 중앙에서 관리

사용 이유

데이터베이스 보안 인증 정보 및 API 키와 같은 보안 정보를 안전하게 암호화하고 중앙 집중식으로 감사할 수 있다.
세분화된 AWS Identity and Access Management(IAM) 및 리소스 기반 정책을 사용하여 보안 정보에 대한 액세스를 관리할 수 있다.
보안 정보를 자동으로 교체하여 보안 및 규정 준수 요구 사항을 충족할 수 있다.
보안 정보를 복제하여 재해 복구 시나리오 및 다중 리전 애플리케이션을 지원할 수 있다.

작동 방식

AWS Secrets Manager는 수명 주기에 걸쳐 데이터베이스 보안 인증 정보, API 키 및 기타 보안 암호를 관리, 검색 및 교체하는 데 도움이 된다.

사용 사례

안전한 보안 암호 저장: 보안 인증 정보, API 키, 기타 보안 암호를 중앙에서 저장하고 관리한다.
세분화된 정책을 통해 액세스 관리: AWS IAM 권한 정책을 사용하여 보안 암호에 대한 액세스를 관리한다.
보안 암호 교체 자동화: 활성 애플리케이션을 재배포하거나 중단하지 않고 온디맨드 또는 일정에 따라 보안 암호를 교체한다.
비밀 사용 감사 및 모니터링: AWS 로깅, 모니터링 및 알림 서비스와 보안 암호를 통합한다.

AWS Security Hub

통합된 보안 및 규정 준수 센터
AWS 보안 검사 자동화 및 보안 경고 중앙 집중화

사용 이유

한 번의 클릭으로 보안 모범 사례에서 벗어나는 부분을 감지한다.
AWS 및 파트너 서비스에서 표준화된 데이터 형식으로 보안 결과를 자동으로 집계한다.
자동화된 대응 및 수정 조치를 통해 평균 해결 시간을 가속화한다.

작동 방식

AWS Security Hub는 보안 모범 사례를 확인하고, 경고를 집계하고, 자동화된 수정을 활성화하는 클라우드 보안 태세 관리 서비스다.

사용 사례

클라우드 보안 태세 관리(CSPM) 수행: 전문가가 큐레이팅한 보안 제어 모음을 기반으로 한 자동화된 검사로 위험을 줄이고 CIS, PCI DSS 등과 같은 일반적인 프레임워크에 대한 기본 매핑 기능으로 규정 준수 관리를 간소화한다.
보안 오케스트레이션, 자동화 및 대응(SOAR) 워크플로 시작: Security Hub를 EventBridge와 통합하여 자동으로 결과를 보강하거나 개선하거나 티켓팅 시스템으로 전송한다.
통합을 간소화하여 시간 및 비용 절약: AWS 서비스와 다운스트림 도구 간의 통합을 강화하고 결과를 정규화하여 보안 정보 및 이벤트 관리(SIEM), 티케팅, 기타 도구로의 데이터 수집을 간소화하고 능률화한다.
보안 결과의 상관 관계를 분석하여 새로운 인사이트 발견: 계정 및 리소스별로 다양한 보안 결과를 조사, 상관 관계 분석, 집계하여 중앙 보안 팀 및 DevSecOps 팀의 대응 및 문제 해결 작업의 우선 순위 결정을 향상시킨다.

AWS Shield

DDoS 보호
관리형 DDos 보호 기능을 통해 애플리케이션 가용성과 응답성을 최대화

사용 이유

정교한 네트워크 수준의 DDoS(Distributed Denial of Service) 이벤트를 자동으로 감지하고 완화할 수 있다.
Shield Response Team(SRT) 프로토콜 또는 AWS WAF와의 통합을 통해 DDoS 위험으로부터 애플리케이션을 보호하도록 사용자 지정할 수 있다.
AWS 리소스에 영향을 주는 DDoS 이벤트에 대해 가시성, 인사이트, 비용 절감을 확보할 수 있다.

작동 방식

AWS Shield는 AWS에서 실행되는 애플리케이션을 보호하는 관리형 DDoS 보호 서비스다.

사용 사례

특정 레이어에서 자동으로 불량 트래픽 스크러빙: SYN 플러드, UDP 플러드, 기타 반사 공격으로부터 애플리케이션과 API를 보호한다.
애플리케이션 가동 중지 시간 및 지연 시간 최소화: 결정론적 패킷 필터링 및 우선 순위 기반 트래픽 형성과 같은 인라인 완화 조치를 배포하여 기본 네트워크 계층 공격을 차단한다.
최대 1,000개의 리소스 유형 모니터링 및 보호: AWS 계정별로 각 리소스 유형에 대한 자동 감지, 완화, 보호를 활성화한다.

AWS IAM Identity Center(AWS Single Sign-On의 후속 서비스)

AWS 계정 및 앱에 대한 Single Sign-On 액세스 관리
여러 AWS 계정과 애플리케이션에 대한 인력의 액세스 권한을 중앙에서 관리

사용 이유

AWS 전체에서 사용할 인력의 ID를 한 번만 생성하거나 연결한다.
여러 AWS 계정에 대한 인력의 액세스 권한을 중앙에서 관리한다.
일반적인 직무 또는 사용자 속성을 기반으로 사용자 권한을 할당한다.
클라우드 애플리케이션에 대한 Single Sign-On 액세스를 제공한다.

작동 방식

AWS IAM Identity Center(AWS Single Sign-On의 후속 서비스)는 인력의 ID를 안전하게 생성하거나 연결하고 AWS 계정 및 애플리케이션 전체에서 이들의 액세스 권한을 중앙에서 관리하는 데 도움이 된다.
IAM Identity Center는 모든 규모 및 유형의 조직에서 AWS 내 인력의 인증 및 권한 부여에 사용할 수 있는 권장 접근 방식이다.

사용 사례

AWS 계정에 대한 다중 계정 액세스 지원: 사용자가 디렉터리 보안 인증 정보를 사용하여 AWS CLI, AWS SDK 또는 AWS Console 모바일 애플리케이션을 통해 Single Sign-On을 할 수 있으므로 일관된 인증 경험이 제공된다.
AWS 애플리케이션에 대한 Single Sign-On 액세스 지원: IAM Identity Center는 구성 없는 인증과 권한 부여를 목적으로 Amazon SageMaker Studio, AWS Systems Manager Change Manager 및 AWS IoT SiteWise와 같은 애플리케이션에 통합되었다.
통합된 애플리케이션은 애플리케이션 내에서 리소스를 공유하고 협업할 수 있도록 동일한 사용자 및 그룹 보기를 공유한다.
Amazon EC2 Windows 인스턴스에 대한 Single Sign-On 액세스 지원: 기존 회사 사용자 이름, 암호 및 MFA 디바이스를 사용하여 Amazon EC2 Windows 인스턴스에 안전하게 액세스할 수 있다.
관리자 보안 인증 정보를 공유하거나 보안 인증 정보에 여러 번 액세스하거나 원격 액세스를 클라이언트 소프트웨어를 구성하지 않아도 된다.
IAM Identity Center를 사용하면, 중앙에서 다수의 AWS 계정에 대해 대규모로 EC2 Windows 인스턴스에 대한 액세스 권한을 부여하고 취소할 수 있다.
클라우드 기반 애플리케이션에 대한 Single Sign-On 액세스 활성화: IAM Identity Center 애플리케이션 구성 마법사를 사용하여 SAML 2.0 지원 애플리케이션에 대한 Single Sign-On 액세스를 보다 쉽게 구성할 수 있다.
또한, IAM Identity Center는 Salesforce, Box, Microsoft 365등의 여러 클라우드 애플리케이션에 대해 사전 구성된 설정을 제공한다.

AWS WAF

악성 웹 트래픽 필터링
일반적인 익스플로잇으로부터 웹 애플리케이션 보호

사용 이유

관리형 규칙으로 시간을 단축하여 애플리케이션을 구축하는 데 더 많은 시간을 들일 수 있다.
일반 및 퍼베이시브 봇을 보다 쉽게 모니터링하거나, 차단하거나 속도 제한할 수 있다.
지표를 내보내는 방법을 세부적으로 제어하여 웹 트래픽 가시성을 향상시킬 수 있다.

작동 방식

AWS WAF는 가용성에 영향을 미치거나 보안을 훼손하거나 과도한 리소스를 소비할 수 있는 일반적인 웹 익스플로잇 및 봇으로부터 애플리케이션을 보호하도록 도와준다.

사용 사례

웹 트래픽 필터링: IP 주소, HTTP 헤더 및 본문, 사용자 지정 URI와 같은 조건을 기준으로 웹 요청을 필터링하는 규칙을 생성한다.
계정 탈취 사기 방지: 손상된 보안 인증을 사용한 사용자 계정 무단 액세스 방지를 위해 애플리케이션의 로그인 페이지를 모니터링한다.
API를 사용한 AWS WAF 관리: 규칙을 자동으로 생성 및 유지하고 개발 및 설계 프로세스에 규칙을 통합한다.

참고한 자료

저작자표시 비영리 변경금지

'Infrastructure > Certificate' 카테고리의 다른 글

[AWS] Storage Services (0)	2023.04.02
[AWS] Serverless Services (0)	2023.04.02
[AWS] Satellite Services (0)	2023.04.02
[AWS] Robotics Services (0)	2023.04.02
[AWS] Quantum Technology Services (0)	2023.04.02