DoS 및 DDoS 공격이 애플리케이션에 미치는 영향을 최소화하기 위해 AWS Shield를 사용할 수 있습니다.
AWS Shield
- AWS Shield는 DDoS 공격으로부터 애플리케이션을 보호하는 서비스입니다.
AWS Shield Standard
모든 AWS 고객을 자동으로 보호하는 무료 서비스입니다. AWS 리소스를 가장 자주 발생하는 일반적인 DDoS 공격으로부터 보호합니다.
네트워크 트래픽이 애플리케이션으로 들어오면 AWS Shield Standard는 다양한 분석 기법을 사용하여 실시간으로 악성 트래픽을 탐지하고 자동으로 완화합니다.
AWS Shield Advanced
상세한 공격 진단 및 정교한 DDoS 공격을 탐지하고 완화할 수 있는 기능을 제공하는 유료 서비스입니다.
Amazon CloudFront, Amazon Route 53, Elastic Load Balancing과 같은 다른 서비스와도 통합됩니다. 또한 복잡한 DDoS 공격을 완화하기 위한 사용자 지정 규칙을 작성하여 AWS Shield를 AWS WAF와 통합할 수 있습니다.
<추가 보안 서비스>
AWS Key Management Service(AWS KMS)
커피숍에는 커피 머신, 쿠키, 금전 등록기 안의 돈 등 많은 물품이 있습니다. 이러한 물품을 데이터로 생각할 수 있습니다. 커피숍 점주는 창고에 보관되어 있거나 매장 위치 간에 운송되는 모든 물품이 안전하게 보호되기를 원합니다.
동일한 방법으로 저장 상태에서(저장 시 암호화) 그리고 전송되는 동안(전송 중 암호화라고 함) 애플리케이션의 데이터가 안전한지 확인해야 합니다.
AWS Key Management Service(AWS KMS)를 사용하면 암호화 키를 사용하여 암호화 작업을 수행할 수 있습니다. 암호화 키는 데이터 잠금(암호화) 및 잠금 해제(암호 해독)에 사용되는 임의의 숫자 문자열입니다. AWS KMS를 사용하여 암호화 키를 생성, 관리 및 사용할 수 있습니다. 또한 광범위한 서비스 및 애플리케이션에서 키 사용을 제어할 수 있습니다.
AWS KMS를 사용하면 키에 필요한 액세스 제어를 특정 수준으로 선택할 수 있습니다.
예를 들어 키를 관리할 수 있는 IAM 사용자 및 역할을 지정할 수 있습니다. 또는 더 이상 사용되지 않도록 일시적으로 키를 비활성화할 수 있습니다. 키는 AWS KMS를 벗어나지 않으며, 사용자가 항상 키를 제어할 수 있습니다.
AWS WAF
AWS WAF는 웹 애플리케이션으로 들어오는 네트워크 요청을 모니터링할 수 있는 웹 애플리케이션 방화벽입니다.
AWS WAF는 Amazon CloudFront 및 Application Load Balancer와 함께 작동합니다. 이전 모듈에서 배운 네트워크 액세스 제어 목록을 기억해 보십시오. AWS WAF는 비슷한 방식으로 작동하여 트래픽을 차단하거나 허용합니다. 그러나 AWS 리소스를 보호하기 위해 웹 ACL(액세스 제어 목록)을 사용합니다.
Amazon Inspector
커피숍의 개발자들이 새로운 주문 애플리케이션을 개발하고 테스트한다고 가정해 보겠습니다. 이들은 보안 모범 사례에 따라 애플리케이션을 디자인하고 있는지 확인하기를 원합니다. 그러나 개발해야 할 다른 여러 애플리케이션이 있으므로 수동 평가를 수행하는 데 많은 시간을 할애할 수 없습니다. 개발자들은 자동 보안 평가를 수행하기 위해 Amazon Inspector를 사용하기로 결정했습니다.
Amazon Inspector는 자동화된 보안 평가를 실행하여 애플리케이션의 보안 및 규정 준수를 개선할 수 있는 서비스입니다. 이 서비스는 Amazon EC2 인스턴스에 대한 오픈 액세스, 취약한 소프트웨어 버전 설치와 같은 보안 모범 사례 위반 및 보안 취약성을 애플리케이션에서 검사합니다.
Amazon Inspector는 평가를 수행한 후에 보안 탐지 결과 목록을 제공합니다. 이 목록은 심각도 수준에 따라 우선 순위가 결정되고 각 보안 문제에 대한 자세한 설명 및 권장 해결 방법이 포함됩니다. 그러나 AWS는 제공된 권장 사항으로 모든 잠재적 보안 문제가 해결됨을 보장하지 않습니다. 공동 책임 모델에 따라 고객은 AWS 서비스에서 실행되는 애플리케이션, 프로세스 및 도구의 보안에 대한 책임이 있습니다.
Amazon GuardDuty
Amazon GuardDuty는 AWS 인프라 및 리소스에 대한 지능형 위협 탐지 기능을 제공하는 서비스입니다. 이 서비스는 AWS 환경 내의 네트워크 활동 및 계정 동작을 지속적으로 모니터링하여 위협을 식별합니다.
- VPC Flow Logs 및 DNS 로그를 비롯한 여러 AWS 소스의 데이터를 지속적으로 분석
- GuardDuty가 위협을 탐지한 경우 AWS Management Console에서 위협에 대한 자세한 탐지 결과를 검토할 수 있습니다. 탐지 결과에는 문제 해결을 위한 권장 단계가 포함됩니다. 또한 GuardDuty 보안 탐지 결과에 대한 응답으로 자동으로 문제 해결 단계를 수행하도록 AWS Lambda 함수를 구성할 수도 있습니다.
Amazon CloudWatch
- 애플리케이션을 실행하는 리소스에 대한 다양한 지표를 모니터링하고 관리할 수 있는 웹 서비스입니다.
AWS CloudTrail
- AWS 환경 내에서 발생한 사용자 활동 및 API 호출에 대한 세부 정보를 검토할 수 있는 웹 서비스입니다.
Amazon GuardDuty
- AWS 환경 및 리소스에 대한 지능형 위협 탐지 기능을 제공하는 서비스입니다. 이 서비스는 AWS 환경 내의 네트워크 활동 및 계정 동작을 지속적으로 모니터링하여 위협을 식별합니다.
'AWS > 보안' 카테고리의 다른 글
| 규정준수 (0) | 2022.04.25 |
|---|---|
| AWS Organizations (0) | 2022.04.25 |
| 사용자 권한(IAM) 및 액세스 (0) | 2022.04.25 |
| AWS 공동 책임 모델 (0) | 2022.04.25 |
댓글