Security on AWS

Amazon Web Services

Kyungsoo Lee – Partner Solutions Architect

Kyungsol@amazon.com

2

▪ Firewall/NG Firewall : 방화벽

▪ IPS/IDS : 침입탐지/방지 시스템

▪ NAC : 네트워크 접근제어

▪ WAF : 웹 방화벽

▪ Anti-Spam : 스팸차단 장비

App/DB 서버

Web 서버

전통적인 방식 – 정적인 시스템

3

AWS의 유연성/가변성

“Cloud applications have

amorphous, polymorphic

attack surfaces.”

- Jason Chan

Director of Engineering,

Cloud Security

Netflix

4

한눈에 전체 상황이 다

들어오는 것 같지만,

기존 데이터 센터를 보면

그 이면은 …

5

AWS의 가시성/제어성

AWS IAM Amazon CloudWatch

AWSCloudTrail

AWSConfig

AWSCloudFormation

AWS Trusted Advisor

…

6

기존 데이타센터 내 네트워크 보안 솔루션 구성 방식

Corporate Data center

Servers

Span/Tab

Router

• 트래픽 경로를 벗어나 구성

• 모니터링(스캐닝) 이 필요한

트래픽에 대한 선별적 포워딩

One-Arm 구성

7

유연성 , 가시성 , 네트워크 환경이 다름

≠

8

Security is our #1 priority

9

This

To this

10

보안은 AWS의 최우선 순위 과제입니다!고객층의 증가와 더불어 더 나은 서비스 제공을 위해 보안, 규제/감사, 거버넌스 관련 다양한 업데이트를 빠르게 진행

2007 2008 2009 2010 2011 2012 2013 2014 2015

48 6182

159

280

514

722

269(37%)보안, 거버넌스, 컴플라이언스, 감사관련

신규서비스출시및업데이트

기타신규서비스출시및업데이트

2015년에는 전년대비 40% 증가한, 722건의 새로운 서비스 및 기능을 출시

11

Shared Security Responsibility

12

WHAT NEEDS

TO BE DONE

TO KEEP THE

SYSTEM SAFE

13

WHAT WE DO

WHAT YOU HAVE TO DO

14

AWS와 고객이 보안에 대한 책임 분담

Client-side Data

Encryption

Server-side Data

EncryptionNetwork Traffic

Protection

Platform, Applications, Identity & Access Management

Operating System, Network & Firewall Configuration

Customer content

Custo

mers

Customers are

responsible for

their security IN

the Cloud

AWS is

responsible for

the security OF

the Cloud

Compute Storage Database Networking

AWS Global

Infrastructure Regions

Availability ZonesEdge

Locations

AWS Foundation Services

15

모든 고객은 동일한 AWS 보안 기초위에…

Client-side Data

Encryption

Server-side Data

EncryptionNetwork Traffic

Protection

Platform, Applications, Identity & Access Management

Operating System, Network & Firewall Configuration

Customer contentC

usto

mers

Customers are

responsible for

their security IN

the Cloud

Independent validation by experts

• Every AWS Region is in scope

• SOC 1 (SSAE 16 & ISAE 3402) Type II

• SOC 2 Type II and public SOC 3 report

• ISO 27001 Certification

• Certified PCI DSS Level 1 Service Provider

• FedRAMP Certification, HIPAA capable

16

“Based on our experience, I believe that

we can be even more secure in the AWS

cloud than in our own data center”

Tom Soderstrom –

CTO – NASA JPL

17

심층 방어

AWS compliance

program

Third-party

attestationsPh

ysic

al

Security groups

VPC configuration

Netw

ork

Se

cu

rity

Web application firewalls

Bastion hosts

Encryption in-transit

Hardened AMIs

OS and apppatch mgmt.

IAM roles for EC2

IAM credentials

Syste

m s

ecu

rity

Logical access controls

User authentication

Encryption at-rest

Data

se

cu

rity

18

“AWS 의 보안은

여러분이 지금 수행하고 있는 것과 같은

익숙함을 제공하기 위해서 지속적으로

노력하고 있습니다.”

• 가시성(Visibility)

• 제어(Controllability)

• 감사 기능(Auditability)

19

더 나은 제어(DATA, USER, NETWORK)

20

컴퓨팅과 스토리지의 위치를 고객이 직접 선택가능AWS 클라우드는 전 세계 16개 지리적 Region 내에 42개의 Availability Zone을

운영

21

AWS 리젼 과 가용영역

US West (OR)

AZ A AZ B

AZ C

GovCloud (US)

AZ A AZ B

US West (CA)

AZ A AZ B

AZ C

US East (VA)

AZ A AZ B

AZ C AZ D

AZ E

China (Beijing)*

AZ A

*A limited preview of the China (Beijing) Region is available to a select group of China-based and multinational companies with customers in China. These customers are required to create a AWS Account, with a set of credentials that are distinct and separate from other global AWS Accounts.

EU (Ireland)

AZ A AZ B

AZ C

AZ A AZ B

S. America (Sao Paulo)

Asia Pacific (Tokyo)

AZ A AZ B

AZ C

AZ A AZ B

Asia Pacific (Singapore)

China (Bejing)Asia Pacific (Sydney)

AZ A AZ B

EU (Frankfurt)

AZ A AZ B

AWS Regions

China (Bejing)Asia Pacific (Seoul)

AZ A AZ B

22

AWS 리젼 과 가용영역

Details about encryption can be found in the AWS Whitepaper,“Securing Data at Rest with Encryption”.

Encryption In-Transit

HTTPS

SSL/TLS

SSH

VPN

Object

Encryption At-Rest

Object

Database

Filesystem

Disk

23

AWS KMS - 암호화키 생성/보관/관리

Centralized Key Management for use with AWS: Customer MasterKey(s)

Data Key 1

S3 Object EBS Volume Redshift Cluster

Data Key 2 Data Key 3 Data Key 4

EBS S3 Redshift AWS SDK

AWS CloudTrail

Details about security controls can be found in the AWS Whitepaper: KMS Cryptographic Details.

Application or

AWS Service

+

Data Key Encrypted Data Key

Encrypted

Data

Master Key(s) in

Customer’s Account

KMS

24

AWS Key Management ServiceIntegrated with Amazon EBS

25

USER

에 대한 더 나은 제어

26

AWS IAM : Identity + Authentication + Authorization

• Access to specific services.• Access to console and/or APIs.• Access to Customer Support (Business and Enterprise).

IAM Users, Groups and Roles

• Access to specific services.• Access to console and/or APIs.

Temporary Security Credentials

• Access to all subscribed services.• Access to billing.• Access to console and APIs.• Access to Customer Support.

Account Owner ID (Root Account)

AWS Account Owner (Root)

AWS IAM User

Temporary Security

Credentials

27

28

NETWORK

에 대한 더 나은 제어

29

AWS Cloud 내에 격리된 사설 네트워크를 생성가용

영역

A

가용

영역

B

AWS Virtual Private Cloud

• 논리적으로 분리된 일종의

가상 사설망을 제공

• VPC상에서 사설 IP대역을

선택

• 적절하게 서브넷팅하고

EC2 인스턴스를 배치

AWS network security

• AWS 는 IP Spoofing과 같은

레이어 2 공격 차단

• 소유하지 않은 EC2인스턴스에

대한 스니핑 불가

• 외부와의 모든 라우팅과

연결을 통제

30

애플리케이션 아키텍쳐에 맞게 VPC를 서브넷으로 분리

Web App

DBWeb

31

각 서브넷에 네트워크 액세서 제어 목록 (NACL) 사용

App

DBWeb

Web

Deny all traffic

Allow

32

각 EC2 인스턴스에 보안 그룹(Security Group) 방화벽 사용

App

DBWeb

WebPort 443

Port 443

Deny all traffic

33

라우팅테이블

라우팅테이블

인터넷게이트웨이

가상 사설게이트웨이

가상라우터

VPC 10.1.0.0/16

VPC 보안 통제

34

[WAF] AWS WAF (WAF on CDN)

WEBWAS

WEBWAS

www.a.com WAF on CloudFront edges

users

SafeTraffic

Edge Location

Edge Location

…

54 edges

WAF

WAF

hackers

Bad bots

legitimatetraffic

SQL Injection,

XSS, ..

site scripting

• CloudFront edge단에서

WAF가 monitor & filter처리

• 분산된 edge에서 처리되어

scaling에 대한 부담 없음

• SQL injection, XSS 룰셋 기본

제공

• CloudFront 사용이 전제됨

35

더 나은 가시성(NETWORK, SYSTEM, AUDIT)

36

가시성: 보안의 기본 속성

여러분의 데이터 센터를 보면…

한눈에 전체의상황이 다 들어오는

것을 원하시겠지만,

보통 이런 그림을 보시게 됩니다.

37

가시성: 보안의 기본 속성

AWS IAM Amazon CloudWatch

AWSCloudTrail

AWSConfig

AWSCloudFormation

AWS Trusted Advisor

…

AWS는 이 분야에 혁신적인

개선과 진보된 IT Governance

서비스들을 가지고 있습니다.

38

AWS CloudWatchAWS 리소스와 AWS기반어플리케이션에대한모니터링서비스

EC2

AutoScaling

ELB

Route 53

EBS

Storage Gateway

CloudFront

DynamoDB

ElastiCache

RDS

EMR

SNS

SQS

EBS

빌링

취합과

추적

항목들 Custom

모니터링과로그저장

경보설정

그래프와통계조회

39

AWS Trusted Advisor Security

40

41

AWS Inspector

• Agent 기반 - 어플리케이션보안수준진단

• 보안진단결과 –가이드제공

• API를통한자동화

• Rule Package• CVE (common vulnerabilities and exposures) –수천개항목

• Network security best practices – 4개항목

• Authentication best practices – 9개항목

• Operating system security best practices – 4개항목

• Application security best practices – 2개항목

• PCI DSS 3.0 readiness – 25개항목

42

더 나은 감사기능(COMPLIANCE, HISTORY, LOG)

43

44

45

AWS CloudTrailAWS상의모든관리작업에대한로깅

모든작업은 API

콜로처리됨...

사용하는서비스와인스턴스들이늘어

남에따라 …

CloudTrail은계속해서모든API 요청들에

대해신뢰성있는기록을수행…

CloudTrail이 제공하는정보:

• API 호출한사용자 정보(누가)

• API call 이발생한시간(언제)

• API 호출한사용자의 IP주소(어디서)

• 요청파라미터 값(무엇을)

• AWS서비스에서 반환한응답(결과)

46

AWS CloudTrailAWS상의모든관리작업에대한로깅

• CloudWatch Logs 내

CloudTrail 로그 활용

47

AWS Config/RulesAWS리소스에대한인벤토리관리와구성정보변경관리및통보(AWS SNS)

보안분석 변경관리감사

컴플라이언스Troubleshooting Discovery

ConfigRules 의 custom rule 지원

특정변경이력의실시간/주기적

감시/통보

• Lambda blueprint 내관련참조

소스제공

• GitHub내관련 Lambda 소스공개

48

AWS Service CatalogAWS 리소스생성및관리용셀프서비스포털

관리자

Clo

ud

Form

atio

n템플릿

생성

포트폴리오와퍼미션설정Service Catalog

Product등록

통지

포트폴리오

ProductA

ProductB

배치된스택

통지

Product기동

Product 조회사용자

• 승인된 리소스 카탈로그를 생성하고 관리.

• 사용자는 셀프서비스 포털에서 필요한 Product을 찾고 기동.

• 관련 컴플라이언스나 규제항목에 따라 어플리케이션 혹은 AWS 리소스에대한 사용자 접근을 통제함

• API를 통해 셀프서비스 기능 확장 가능

49

WHAT WE DO

WHAT YOU HAVE TO DO

THANK YOUAmazon Web Services

Kyungsoo Lee