AWS SAA-C02개념정리::보안/운용

1. 보안 관련 서비스
-데이터의 보호:ELB, EBS, S3, RDS, KMS
-권한관리:IAM, MFA
-인프라보호:VPC
-검출:Cloud Trail, Cloud Watch, AWS GuardDuty, Amazon Inspector

2. 데이터의 보호
-많은 DB 서비스는 KMS와 통합되어 있어 쉽게 암호화를 실시할 수 있다.
-Cloud HSM은 부정사용 방지책이 취해진 전용 HW 모듈(HSM)에 의해 암호키를 보호하는 서비스. 까다로운 암호화 요건에 대응하기 위해 이용

3. S3의 암호화
-S3는 데이터 보호를 위해 AWS 인증 정보를 통한 접근 제어 및 암호화 실시
-서버측 암호화:
AWS의 서버 리소스를 이용하여 저장 데이터 암호화 실시
암호화 유형에는 SSE-S3/SSE-KMS/SSE-C 가 있다.
-클라이언트측 암호화:
암호화 프로세스를 사용자 측에서 관리함
암호화 유형에는 AWS KMS에서 관리된 고객 키로 암호화하는 방법과 클라이언트가 관리하는 마스터 키로 암호화하는 방법이 있다

4. RDS의 암호화
-RDS는 보안 그룹을 통한 제어 및 데이터 접속 암호화 및 자원 암호화 실시
-보안 그룹:
DB의 보안 그룹으로 DB 인스턴스 접근 제어
VPC의 보안 그룹으로 VPC 내의 인스턴스 접근 제어
EC2의 보안 그룹으로 EC2 인스턴스 접근 제어
-데이터 접속의 암호화:SSL/TLS를 이용하여 애플리케이션과 DB 인스턴스 간의 데이터 접속을 암호화
-리소스의 암호화:암호화 옵션을 통해 보관 데이터 암호화

5. 권한관리
-AWS Directory Service:
유저와 관련된 각종 정보를 보관하여 사용자 인증을 실현하는 시스템
AWS에 새로운 디렉토리를 작성하거나 기존 Active Directory 인증을 이용한 제어 구현
-Security Token Service (STS):
한정적이고 일시적인 보안 인증 정보를 제공하는 서비스
-Amazon Cognito:
심플하고 안전하게 유저의 로그인 및 액세스 컨트롤을 어플리케이션에 구현

6. 인프라 보호
-VPC 접근 제어(보안그룹이나 네트워크 ACL을 통한)

7. 검출
-CloudTrail: AWS 사용자의 행동 로그를 취득하여 거버넌스, 컴플라이언스 및 운용과 위험 감사를 실시할 수 있도록 지원
-CloudWatch: AWS 리소스와 AWS에서 실행하는 애플리케이션에 대해 다양한 매트릭스 및 로그를 수집, 추적하는 모니터링 서비스
-AWS GuardDuty: AWS 상에서의 악의적인 조작이나 부정한 동작을 지속적으로 모니터링하는 위협 검출 서비스
-Amazon Inspector: 자동적으로 애플리케이션을 검증하고, 그 노출, 취약성, 베스트 프랙티스로부터의 일탈 상황을 확인해, 보안 평가를 실시하는 서비스
-AWS WAF: 가용성, 보안 침해, 자원 과소비와 같은 일반적인 웹의 취약성으로부터 웹 애플리케이션 또는 API를 보호하는 웹 애플리케이션 방화벽
-AWS Shield: DDoS에 대한 보호서비스. 스탠더드와 어드밴스트 2개의 계층이 있으며 지원범위가 다름.
-IAM Access Analyzer: 외부 주체와 공유되고 있는 Amazon S3 버킷이나 IAM 역할 등 조직과 계정의 자원을 식별하고 보안상의 위험인 자원과 데이터에 대한 의도하지 않은 접근을 특정
-AWS Security Hub: 보안 경보를 일원적으로 표시하여 관리하고 컴플라이언스 체크를 자동화. 감사 결과에서 수정해야 할 설정의 수와 현재의 보안 상태를 파악가능

728x90

#제 돈 주고산 유료강의를 듣고 정리한 요약노트입니다. #AWS비슷비슷한 서비스, 기능들 위주로 요약했습니다. #일본거주자라 일본어강의여서 가끔 단어가 이상할 수 있습니다.