AWS 클라우드 보안 | 클라우드 서비스 특성별 보안
AWS 공동 책임 모델
- AWS는 클라우드 환경의 물리적인 사항의 보안에 대해 책임을 진다(물리적 시설과 시스템)
- 고객은 클라우드의 보안을 책임진다. 클라우드 내에서 구현되는 애플리케이션과 데이터세트를 보호해야할 책임을 진다
| 고객 | AWS |
| 저장된 데이터의 암호화와 시스템 간에 전송 중인 데이터의 암호화에 대한 책임 네트워크 보안 구성 확인, 보안 자격 증명, 클라우드를 실행하는 운영 체제 및 애플리케이션의 보안, 방화벽 구성 관리 |
하드웨어, 소프트웨어, 네트워킹 및 시설 등 AWS 클라우드 서비스를 실행하는 인프라를 보호할 책임 |
즉, AWS는 클라우드 환경을 위한 물리적인 보안을 책임지고 보안을 위한 도구를 고객에게 제공하는데, 고객은 이 도구를 활용해서 고객의 데이터와 네트워크 환경 등을 보호해야 하며, 고객의 물리적 환경(운영체제, 방화벽 등)을 보호해야 한다.
AWS의 책임 : 클라우드의 보안
- 데이터 센터의 물리적 보안(필요 기반의 제어된 액세서)
- 하드웨어 및 소프트웨어 인프라(스토리지 폐기, 호스트 OS 액세스 로깅 및 감사)
- 네트워크 인프라(침입 탐지)
- 가상화 인프라(인스턴스 격리)
ex) EC2를 사용하는 환경에서 다른 고객의 컴퓨터 환경으로부터 격리된다
고객의 책임 : 클라우드에서의 보안
- Amazon EC2 인스턴스 운영체제(패치 적용, 유지 관리 등)
- 애플리케이션(암호, 역할 기반 액세스 등)
- 보안 그룹 구성
- OS 또는 호스트 기반 방화벽(침입 탐지 또는 차단 시스템 등)
- 네트워크 구성
- 계정 관리(각 사용자에 대한 로그인 및 권한 설정)
서비스 특성 및 보안 책임
- IaaS(서비스형 인프라) : 시스템의 대부분에 대한 제어와 관리를 지원하는 서비스, 물리적 시설과 데이터 센터의 물리적 서버를 관리하는 방식과 유사(Amazon EC2, Amazon Elastic Block Store(EBS), Amazon VPC)
- 고객은 네트워킹 및 스토리지 설정을 보다 유연하게 구성할 수 있음
- 보안의 더 많은 측면을 고객이 관리해야 함
- 액세스 제어를 고객이 구성
- PaaS(서비스형 플랫폼) : 인프라를 사용하는 서비스(AWS Lambda, Amazon RDS(고객이 리소스 조달, 용량계획, 소프트웨어 유지 관리 또는 패치에 대해 신경쓸 필요 없이 엔드포인트에 액세스하여 데이터를 저장하고 검색하기만 하면 됨), AWS Elastic Beanstalk)
- 고객이 인프라를 관리할 필요X
- 운영체제, 데이터베이스 패치 적용, 방화벽 구성 및 재해 복구를 AWS가 처리
- 고객은 코드 또는 데이터 관리에 집중
- SaaS(서비스형 소프트웨어) : 즉시 사용 가능한 완전한 소프트웨어 솔루션을 제공하는 서비스, 소프트웨어가 중앙에서 호스팅되므로 고객이 서비스를 지원하는 인프라를 관리할 필요가 없음(AWS Trusted Advisor, AWS Shield, Amazon Chime)
- 소프트웨어가 중앙에서 호스팅 됨.
- 구독 모델 또는 종량 과금제로 라이선스 부과
- 일반적으로 웹 브라우저, 모바일 앱 또는 API(애플리케이션 프로그래밍 인터페이스)를 통해 서비스에 액세스