본문 바로가기
AWS/보안

AWS 공동 책임 모델

by kiimy 2022. 4. 25.
728x90
728x90

보안 유지는 고객과 AWS 모두의 책임입니다.

 

AWS일부 객체의 보안을 책임집니다. 이 객체에 대해서는 전적인 책임을 지죠.

나머지 객체의 보안은 고객이 전적으로 책임집니다. 이것은 공동 책임 모델이라고 합니다.

 

- AWS인프라 내의 결함을 패치하고 수정할 책임이 있지만

- 고객게스트 OS 및 애플리케이션에 패치를 적용할 책임이 있습니다.


- AWS인프라 장치의 구성을 유지 관리하지만

- 고객은 자신의 게스트 운영 체제, 데이터베이스 및 애플리케이션을 구성할 책임이 있습니다.

<예시>

주택 보안과 다르지 않습니다. 건설 회사가 벽 4개와 문 1개가 있는 집을 짓습니다. 튼튼한 벽과 단단한 문을 만드는 건 건설 회사의 책임이죠. 집주인은 문을 닫고 잠그는 일을 책임집니다.

<AWS 원리 예시>

EC2는 물리적 건물 안에 있으며 데이터 센터의 보안이 유지되어야 합니다. 고객의 인스턴스를 지원하는 <네트워크 및 하이퍼바이저>가 있죠. 개별 운영 체제도요. 운영 체제에는 애플리케이션이 있으며 애플리케이션은 데이터를 지원합니다. 따라서 EC2와 AWS가 제공하는 모든 서비스에는 서로 다른 부분 위에 쌓여 구축되는 비슷한 형태가 존재합니다. AWS가 일부를 100% 책임지고 고객이 나머지 부분을 책임지죠.

물리적 계층부터 살펴보겠습니다. 이것은 철과 콘크리트, 울타리와 경비원에 해당합니다. 누군가가 콘크리트를 소유해야 하죠. 누군가가 물리적 경계를 순찰해야 합니다. 연중무휴 24시간 동안 말이죠. 바로 AWS입니다. 물리 계층 위에는 네트워크와 하이퍼바이저가 있습니다.

이 모든 요소의 위를 보면 EC2에서 여러분은 실행할 운영 체제를 선택합니다. <- 책임을 구분짓는 선

고객 책임(일반적으로 ‘클라우드 내부의 보안’이라고 함)AWS 책임(일반적으로 ‘클라우드 자체의 보안’이라고 함)으로 나뉩니다.

고객: 클라우드 내부의 보안

고객은 AWS 클라우드 내에서 생성하고 배치하는 모든 것의 보안을 책임집니다.

 

AWS 서비스를 사용할 때 고객은 자체 콘텐츠에 대한 완전한 제어를 유지합니다. AWS에 저장하기로 선택하는 <콘텐츠, 사용하는 AWS 서비스, 해당 콘텐츠에 액세스할 수 있는 사용자를 포함하여 콘텐츠에 대한 보안 요구 사항>을 관리할 책임은 고객에게 있습니다. 또한 액세스 권한을 부여, 관리 및 해지하는 방법도 고객이 제어합니다.

 

고객이 수행하는 보안 단계는 사용하는 서비스, 시스템의 복잡성, 회사별 운영 및 보안 요구 사항과 같은 요소에 따라 달라집니다. 이러한 단계에는

<Amazon EC2 인스턴스에서 실행할 운영 체제를 선택,

구성 및 패치 적용하는 단계,

보안 그룹을 구성하는 단계,

사용자 계정을 관리하는 단계>가 포함됩니다

AWS: 클라우드 자체의 보안

AWS는 클라우드 자체의 보안을 책임집니다.

 

AWS는 인프라의 모든 계층에서 구성 요소를 운영, 관리 및 제어합니다. 여기에는 호스트 운영 체제, 가상화 계층, 심지어 서비스가 작동하는 데이터 센터의 물리적 보안과 같은 영역이 포함됩니다. 

AWS는 AWS 클라우드의 모든 서비스를 실행하는 글로벌 인프라를 보호할 책임이 있습니다. 이러한 인프라에는 AWS 리전, 가용 영역 및 엣지 로케이션이 포함됩니다.

 

AWS는 클라우드 자체의 보안, 특히 리소스를 호스팅하는 물리적 인프라를 관리합니다. 여기에는 다음이 포함됩니다.

* 데이터 센터의 물리적 보안

* 하드웨어 및 소프트웨어

* 인프라

* 네트워크 인프라

* 가상화 인프라

고객이 AWS 데이터 센터를 방문하여 이러한 보호 기능을 직접 확인할 수는 없지만 AWS는 외부 감사 기관이 작성한 여러 보고서를 제공합니다. 이러한 감사 기관에서 다양한 컴퓨터 보안 표준 및 규정을 준수하는지 확인했습니다.

728x90

'AWS > 보안' 카테고리의 다른 글

AWS Shield, KMS, WAF, Inspector, GuardDuty  (0) 2022.04.25
규정준수  (0) 2022.04.25
AWS Organizations  (0) 2022.04.25
사용자 권한(IAM) 및 액세스  (0) 2022.04.25

댓글