on-premise vs aws 보안관련가장많은질문 · 2018-03-19 · #cloudsec •...
TRANSCRIPT
www.cloudsec.com | #CLOUDSEC
On-Premise vs AWS 보안관련가장많은질문
이상오 SA
GS네오텍
@renjoy
“CLOUD SECURITY CHALLENGES”
#CLOUDSEC
CLOUD MARKET
약 45% 차지
#CLOUDSEC
CLOUD INVESTMENTS
IT infrastructure
38%
0% 1-15% 16-25% 26-50% 51-75% +75%
12% 13%9% 7%
Share of cloud relative to overall IT investment
50%Organizations invest morethan 15% of all IT in cloud
21%
Datasource : “Cloud Security Spotlight report 2016” by cloudpassage
#CLOUDSEC
CLOUD 도입 장벽
#1
53%
Generalsecurity risks
8%p.p.from last year
#2
42%
Legal & regulatorycompliance
13%p.p.from last year
#3
40%
Data loss &leakage risks
1%p.p.from last year
#4
35%
Integration withexisting IT environments
6%p.p.from last year
#5
26%
Lack ofexpertise
10%p.p.from last year
Datasource : “Cloud Security Spotlight report 2016” by cloudpassage
#CLOUDSEC
클라우드에서 가장 큰 보안위협
#1 #2 #3 #4
11001010110010101010PASSWORD101100101011001010111001010110010101
53%Unauthorized access
44%Hijacking of accounts
39%Insecure interfaces/APIs
33%External sharing of data
Datasource : “Cloud Security Spotlight report 2016” by cloudpassage
#CLOUDSEC
22%Lower risk of securitybreaches compared
to on-premise
Significantly lower (7%)Somewhat lower (15%)
0%unchanged
21%Higher risk of securitybreaches comparedto on-premise
Significantly higher (5%)Somewhat higher (16%)
7% p.p.from last year
About the same
SECURITY RISKS IN THE CLOUD VS ON-PREMISE
Datasource : “Cloud Security Spotlight report 2016” by cloudpassage
Not sure
“ THE MOST FREQUENT QUESTION ”
#CLOUDSEC
Q #1 : AWS클라우드 IDC에현재사용중인 IPS/IDS 장비를넣을수있나요?
#CLOUDSEC
Q #1 : AWS 클라우드 IDC에현재사용중인 IPS/IDS 장비를넣을수있나요?
“AWS 인프라구성정보”
“해당인프라위치정보”
A : AWS는외부인프라인입및어떠한출입도허용하지않습니다.
비공개
“물리적인프라정보제공및출입통제”
#CLOUDSEC
Q #2 : AWS환경에도 IPS/IDS/WAF와같은보안솔루션을사용할수있나요?
#CLOUDSEC
Q #2 : AWS환경에서 IPS/IDS/WAF와같은보안솔루션을사용할수있나요?
A : 사용할 수 있습니다. AWS는 Maket(http://aws.amazon.com/marketplace)을통해 다양한 3rd Party 솔루션을 제공하고 있습니다. 이중에는 IPS / IDS / WAF / DB 접근제어 솔루션도 포함하고 있습니다.
#CLOUDSEC
Q #3 : 내부보안정책상 ON-PREMISE상의 IPS/IDS를통해트래픽을처리되어야하는데, 어떻게하나요?
#CLOUDSEC
AWS 리전
App계층
데이터 센터
인터넷
Web계층
DB계층
고객별 (보안, 규정) 적용 계층 (DMZ)
S3
Direct Connect / VPN
Q #3 : 내부보안정책상 ON-PREMISE상의 IPS/IDS를통해트래픽을처리되어야하는데, 어떻게하나요?
A : AWS를서비스의 Back-end로구성하여, 고객사의네트웍/보안규정을적용할수있습니다.
#CLOUDSEC
Q #4 : AWS환경에서네트워크트래픽에대해로깅을할려면어떻게해야하나요?
#CLOUDSEC
A : 특정 VPC에서 Flow Logs를 사용하여 VPC 서브넷과 Elastic NetworkInterface(ENI)의 네트워크 트래픽에 대해 로깅할 수 있습니다.
Q #4 : AWS환경에서네트워크트래픽에대해로깅을할려면어떻게해야하나요?
#CLOUDSEC
Q #5 : AWS에서제공하는보안기능은어떤것들이있나요?
#CLOUDSEC
AWS 컴플라이언스 프로그램
AWS 물리적 출입 통제물리적
SECURITY GROUP
VPC NACL
네트워크
VPC FLOW LOG
BASTION HOST / NAT
HTTPS / SSL / TLS
SERVICE CATALOG
CONFIG
시스템
보안
IAM(MFA/ROLE)
CLOUD WATCH LOGS
KMS
CLOUD HSM
데이터
보안
CLOUD TAIL
Q #5 : AWS에서제공하는보안기능은어떤것들이있나요?
CLOUD TAIL
#CLOUDSEC
AWS VPC
(Virtual Private Cloud)
방화벽 – NACL, Security Group
VPC Flow Logs(방화벽 로그) Managed NAT
AWS WAF
웹 요청 필터링 – IP, 문자열,SQL injection
Amazon Cloudfront 연계 대쉬보드
네트워크 보안
#CLOUDSEC
시스템 보안
AWS
CloudTrail
모든 리전에 대한 일괄 활성화
무결성 & 암호화 Archive & Forward
AmazonCloudWatch
Amazon CloudWatch Logs
메트릭 & 필터 경보 & 통지
AWS
IAM
SMS 기반 MFA
Policy Simulator Console Search
#CLOUDSEC
데이터 보안
AmazonCloudHSM
AWS KMS Encrypted
DATA
ServerSide Encryption 지원
ClientSide Encryption지원
AWS KMS와 연동 지원
타 AWS 서비스들과 연계
CloudTrail 연계
AWS SDK for application
encryption
전용 HSM
on-premises HSM 장비와 연계
하이브리드 아키텍쳐
SafeNet의 Luna SA HSM을사용
#CLOUDSEC
Q #6: Autoscaling 을사용했을때, Scale-Out된서버가 Scale-In 될때로그를어떻게보관해야하나요?
#CLOUDSEC
Q #6: Autoscaling 을사용했을때, Scale-Out된서버가 Scale-In 될때로그를어떻게보관해야하나요?
A : AWS는 필요한 로그 저장을 위해 Cloud Watch Logs라는 인터페이스를 제공합니다.사용하는 Cloud Watch Logs를 통해, 필요한 보안/서비스/Application 로그를S3저장할수 있습니다.
Data Source : AWS Blog(https://aws.amazon.com/blogs/aws/cloudwatch-log-service/)
#CLOUDSEC
Data Source : AWS Blog(https://aws.amazon.com/blogs/aws/cloudwatch-log-service/)
[ 수집된로그리스트 ]
#CLOUDSEC
[ Metric Filter 설정 ]
Data Source : AWS Blog(https://aws.amazon.com/blogs/aws/cloudwatch-log-service/)
#CLOUDSEC
[ Alarm 설정 ]
Data Source : AWS Blog(https://aws.amazon.com/blogs/aws/cloudwatch-log-service/)
#CLOUDSEC
CloudWatch 지표CloudWatch
Logs
CloudWatch
Alarm
SNS virtual private cloud
EC2
Amazon Linux
Log Agent
EC2
Windows
Config
EC2
Ubuntu Linux
Log Agent
EC2
RHEL
Log Agent
CloudWatch Logs 이용 Architecture
#CLOUDSEC
Q #7: 파일시스템레벨의암호화를지원하나요?
#CLOUDSEC
Your applications in your
data centerYour applications in
Amazon EC2
AWS Storage Services
S3 Glacier Redshift RDS forOracle
RDS forMS-SQL
EBS
HTTPS
Server Side Encryption
#CLOUDSEC
S3 Server Side Encryption
#CLOUDSEC
EBS Server Side Encryption
#CLOUDSEC
Encryption
자세한 정보가 담긴 백서 : https://media.amazonwebservices.com/AWS_Securing_Data_at_Rest_with_Encryption.pdf
저장시암호화
전송중암호화
HTTPS SSH
SSL / TLS
VPN
OBJECT
저장시암호화
DATABASE
FILE SYSTEM
SSH DISK
OBJECT
#CLOUDSEC
Q #8: 저희는서비스특성때문에물리적서버를저희만사용해야하는정책이있습니다.따라서저희만사용가능한물리적서버를제공받을수있습니까?
#CLOUDSEC
EC2 Dedicated Hosts 서비스
전용서버의사용을강제하는경우
Core혹은 Socket기반의 Licensing을강제하는경우
일정기간동안물리적장치로부터 License를이동할수없는경우
물리적서버의 Utilization을 Reporting해야할의무가있는경우
정책적이유로물리적서버를다른업체와공유할수없는경우
#CLOUDSEC
Q #9: AWS가이야기하는책임공유모델은무엇인가요?
#CLOUDSEC
Cust
om
ers
스토리지
AWS 글로벌
인프라
데이터베이스 네트워킹
클라이언트 측 데이터 암호화및 데이터 무결성 인증
AWS 기본 서비스
서버 측 암호화(파일 시스템 or 데이터)
네트워크 트래픽 보호(암호화/무결성/자격 증명)
플랫폼, 어플리케이션, 신원 및 접근 제어(IAM)
운영체제, 네트워크, 방화벽 설정
고객 어플리케이션 및 컨텐츠
책임공유모델
컴퓨팅
REGION
가용영역엣지 로케이션
Data source : AWS Seoul Summit 2016
고객은 AWS상의
고객환경에 대한
보안/통제를 담당
AWS는 클라우드
자체의 보안/통제를
담당
#CLOUDSEC
Q #10 : GS네오텍은 AWS와무슨관계인가요?
#CLOUDSEC
• 콘텐츠 전송 서비스 (Content Delivery Network)
• 경력 10년 이상의 전문 전담 기술지원팀
• 국내 No.1 (업계 1위의 기술력, 고객사 보유)
국내 포털 업계 1위 고객 포털
쇼핑몰 Top10 중 6개 고객
게임 Top10 중 5개 고객(국내 최대 게임트래픽)
교육 Top5 중 4개 고객
미디어 Top5 중 3개 고객
AWSCloud ServiceCDN
• Amazon Web Services를 활용한 안정성과 확장성이
뛰어난 인프라 플랫폼 서비스제공
• 사용 기준에 따른 다양한 Billing 레포팅
• 국내 최초 AWS Premier Consulting Partner 인증
• AWS Managed Service Partner 인증
IT Division
CDNBusiness
CLOUDBusiness
ICTBusiness
NIBusiness
기업신용평가등급
AA
자체
특허보유(고성능 서버기술)
ISMS인증
(정보보호관리체계)
1974년 설립(대표이사 남기정)
직원 수 950여명
연 매출 약 7천억원
서울시 구로구 경인로 576
GS네오텍 빌딩
GS네오텍소개
GS 네오텍
#CLOUDSEC
보안전문가 네트워크전문가
개발전문가
솔루션아키텍트
비용분석전문가
분야별 전문가로 구성된 “전문팀” 보유
#CLOUDSEC
Q #00 : 그밖에참고할만한 AWS 보안관련서비스?
#CLOUDSEC
AWSConfig
AWSInspector
리소스 인벤토리,
구성기록/변경알림
시간 순서 별 변경
내역 추적
규정준수감사/보안분석
리소스변경 추적등 수행
어플리케이션 환경 스캐닝
빌트인 룰셋 – CVE(취약점),
운영체제, 네트웍, 인증,
어플리케이션
감사 패키지 – PCI-DSS
AWSCloudFormation
회사 보안 정책의 코드화
Config Rules + 람다를
활용하여 정책의 강제 집행
AmazonConfig Rules
회사정책, 모범사례 기준
위배 사항 적발
위배 사항에 대한 자동 조치
필요시, 별도 워크플로 병합
#CLOUDSEC
인프라보안 로깅모니터링 접근제어 취약점제어 데이터보안
AWS Market을통해다양한보안솔루션을이용할수있습니다.
#CLOUDSEC
AWS 보안 포털
AWS 보안 포털(http://aws.amazon.com/security)을 통해 다양한 문서 및 정보를 제공받을수 있습니다.
보안리소스
취약점리포팅
침투테스트
보안게시판
보안프로세스소개
AWS Risk 및 Compliance
AWS 보안 Best Practice