WAF (Web Application Firewall)
WAF (Web Application Firewall)은 관리형 웹 방화벽 서비스로, OWASP TOP 10에 대응하여 SQL 인젝션, XSS 등의 보안 취약점을 방지한다. CloudFront나 Application Load Balancer와 연동하여 배포할 수 있으며, AWS에서 제공하는 관리형 규칙 또는 사용자가 정의한 규칙을 활용하여 IP, 국가, 헤더, 문자열, 요청 길이 등을 기반으로 차단할 수 있습니다. 또한, 실시간 웹 보안 모니터링을 제공하며, AWS 서비스를 활용하여 로그를 통합 관리할 수 있다.
관리형 규칙은 AWS 보안 전문가들이 개발한 일반적인 보안 취약점 및 공격 패턴을 대응하기 위해 만들어졌다. 예를 들어, OWASP TOP 10에 포함된 SQL 인젝션, 크로스 사이트 스크립팅(XSS), 웹 쉘 공격 등을 대응하는 규칙이 포함되어 있습니다. 이러한 관리형 규칙을 사용하면 보안 설정을 빠르게 구성할 수 있으며, 기본적인 보안 요구에 대한 대응을 제공한다.
사용자 정의 규칙은 AWS WAF에서 사용자 지정 규칙을 정의하여 자체적인 보안 정책을 구성할 수 있다. 사용자는 특정한 IP 주소, 국가, 요청 헤더, 특정 문자열 등을 기반으로 차단 또는 허용할 수 있는 규칙을 설정할 수 있다. 이렇게 정의된 사용자 정의 규칙은 애플리케이션의 보안 요구사항에 맞게 조정되어 추가적인 보호를 제공한다. 사용자 정의 규칙을 설정함으로써 특정한 보안 정책을 구현하거나, 특정한 공격 패턴에 대한 대응을 수행할 수 있다.
WAF에 대한 아키텍처가 AWS 에서 제공하고 있으며, AWS Lambda를 활용하여 Amazon Athena를 통해 로그를 쿼리할 수 있다.
Shield
AWS Shield는 관리형 DDOS(Distributed Denial of Service) 차단 솔루션으로, 웹 애플리케이션 및 네트워크 인프라를 DDoS 공격으로부터 보호하기 위해 설계되었다. DDoS 공격은 대량의 요청을 생성하여 웹 사이트나 애플리케이션의 서비스를 마비시키는 공격이다.
Shield는 DDoS 공격을 자동으로 감지하고 이에 대응하여 서비스를 지속적으로 제공할 수 있도록 한다. 이를 위해 네트워크 트래픽을 실시간으로 모니터링하고, 이상 트래픽을 식별하여 허용 가능한 트래픽과 악성 트래픽을 구분한다. 악성 트래픽을 차단하여 애플리케이션의 가용성을 유지하고, 정상적인 트래픽은 허용하여 서비스를 계속 제공할 수 있다.
또한, AWS WAF 서비스와의 통합을 통해 DDoS 공격에 대한 추가적인 보호를 제공한다. AWS WAF는 웹 애플리케이션에서 발생할 수 있는 다양한 보안 취약점에 대응하기 위한 기능을 제공하는 웹 방화벽이다. AWS Shield와 AWS WAF를 함께 사용하면 DDoS 공격과 웹 애플리케이션 취약점에 대한 포괄적인 보호를 구현할 수 있습니다.
Shield는 무상 플랜과 유상 플랜이 제공되고 있다. 무상 플랜인 Standard는 모든 AWS 고객에게 무료로 제공되며, 유상 플랜인 Advanced는 추가 비용이 발생하지만 확장된 기능을 제공한다. 또한, DDoS로 인해 비용이 증가할 경우 AWS는 일정한 환불 정책을 적용하여 고객을 보호하고 있다.
AWS Shield를 사용하면 고가용성과 신뢰성을 유지하면서 DDoS 공격에 대한 대비책을 마련할 수 있다. 이를 통해 웹 애플리케이션과 네트워크 인프라를 안전하게 유지할 수 있고, 비용 효율적으로 보안을 강화할 수 있다.
KMS (Key Management Service)
AWS Key Management Service (KMS)는 데이터의 암호화, 복호화, 디지털 서명 및 확인을 처리하는 AWS의 키 관리 서비스이다. KMS는 데이터의 보안과 기밀성을 유지하는 중요한 역할을 한다. KMS는 다양한 AWS 서비스와 통합되어 암호화된 데이터를 여러 AWS 서비스에서 사용할 수 있게 해준다. 예를 들어, 애플리케이션에서 데이터를 암호화하여 Amazon S3에 저장하거나, Amazon EBS 볼륨을 암호화하거나, Amazon Redshift에서 암호화된 데이터베이스를 사용할 수 있다.
KMS는 AWS CloudTrail 과 같은 서비스와 통합되어 암호화 키 사용 이벤트를 기록하고 모니터링할 수 있다. 추가로, KMS는 AWS CloudWatch와 통합되어 암호화 키의 모니터링과 경고 기능을 제공한다. 이를 통해 키의 활동을 추적하고 보안 상태를 모니터링할 수 있다. KMS는 암호화 키를 사용하여 데이터를 보호하고 규정 준수 요구 사항을 충족시킨다. 데이터의 기밀성을 보장하고 안전한 키 관리를 실천함으로써, KMS는 데이터 보안을 강화하고 민감한 정보의 보호에 대한 신뢰를 제고한다.
AWS Key Management Service (KMS)는 다음과 같은 다양한 키 관리 방법을 지원한다.
AWS 관리형 키: AWS가 자동으로 생성하고 관리하는 키다. 사용자는 직접적인 키 제어권을 갖지 않지만, AWS 서비스와의 통합에 사용됩니다. 이 방식은 사용자에게 편리한 키 관리를 제공한다.
사용자 관리형 키 (CMK): 사용자가 직접 생성하고 관리하는 키다. 이 방식은 사용자가 키의 액세스 정책을 직접 제어하고, 키에 추가적인 보안 조치를 적용할 수 있다. 사용자는 CMK를 사용하여 데이터의 암호화 및 복호화 작업을 수행할 수 있다.
사용자 정의 키 스토어: 사용자는 외부 하드웨어 보안 모듈을 사용하여 CMK를 저장하는 사용자 정의 키 스토어를 생성할 수 있다. 이 방식은 고객이 보다 엄격한 보안 요구 사항을 충족하기 위해 외부 보안 모듈을 활용하고자 할 때 사용된다.
이러한 다양한 키 관리 방법을 통해 요구 사항과 보안 정책에 맞게 키 관리를 수행할 수 있으며, 데이터의 암호화와 보호에 대한 높은 수준의 제어를 확보할 수 있다.
'Computer Science > 클라우드' 카테고리의 다른 글
| AWS 클라우드: 공동 책임 모델(Shared Responsibility Model) (0) | 2023.06.04 |
|---|---|
| AWS 클라우드: 관리형 서비스 (CloudWatch, CloudTrail) (0) | 2023.05.31 |
| AWS 클라우드: 데이터베이스 서비스 (RDS, DynamoDB, Elasticache) (0) | 2023.05.31 |
| AWS 클라우드: 네트워크 서비스 (VPC, CloudFront, Route 53) (0) | 2023.05.31 |
| AWS 클라우드: 스토리지 서비스 (S3, EBS, EFS) (0) | 2023.05.31 |
