섹션 26: aws 보안 및 암호화 : KMS,SSM Parameter store,CloudHSM,Shield , WAF

Encryption in flight (SSL)

매우 민감한 내용일 경우 전송중 암호화 사용

전송중 암호화를 암호화하기 위해서는 SSL인증서를 가진 HTTPS 엔드 포인트가 필요하다.

Server side encryption at rest

데이터가 서버에 수신된후 암호화

서버가 데이터를 암호화한 형태로 저장

암호화 복호화는 모두 서버에서

Client side encryption

데이터는 클라이언트가 암호화

데이터는 서버에 저장되지만 서버는 데이터의 내용을 알수 없다.

KMS (Key management service)

aws에서 암호화 키를 관리

권한 부여를 위해 IAM 통합

CloudTrail 통해 키를 사용하기 위해 호출한 모든 API를 감시할수 있다 .

• 대칭 (AES-256 keys)
  • single encryption key that is used to encrypt and decrypt
  • AWS services that are integrated with KMS use Symmertric
• 비대칭 (RSA , ECC key pairs)
  • public (암호화) , private key(복호화)

KMS 키 상의 자동 교체를 활성화하면 백업 키가 1년마다 교체

KMS CMK 에 대한 액세스를 제어하기 위해서는 KMS 키 정책 사용

copying snapshots across accounts

1. create a sanpshot , encrypted with your own KMS key
2. attach a KMS key policy to authorize cross - account access
3. share the encrypted snapshot
4. create a copy of the snapshot , encrypt it with a CMK in your account
5. create a volume from the snapshot

KMS Multi-Region keys

다중 region key 는 동일한 키 ID 와 동일한 키 구성 요소를 갖는다

KMS 키는 단일 region 에 제한되는것을 선호하기 때문에 다중 region key는 권장하지 않는다

ssm Parameter store

구성 및 암호를 위한 보안 스토리지

암호를 저장하는데에 사용할수 있으며 , 추적 기능이 내장되어있다.

파라미터의 값을 감사할때마다, SSM 파라미터의 새버전을 생성하고 기존의 버전을 보관한ㄷ.

parameters policies ( for advanced parameters)

TTL 매개변수 넣어서 업데이트 또는 삭제를 강제하도록 할수 있음

AWS Secrets Manager

암호를 저장하는 최신 서비스

x일마다 강제로 암호 교체 하는 기능

RDS와 Aurora 의 통합 혹은 암호에 대한 내용이 나온경우 AWS Secrets Manager

AWS WAF - web application firewall

계층 7 에서 일어나는 일반적인 웹 취약점 공격으로부터 웹 애플리케이션 보호

계층 7 (HTTP /HTTPS ) 계층 4 (TCP/UDP)

*Deploy on

- application Load Balancer
- API gateway
- cloudfront
- appSync GrpahQL API
- Cognito User Pool

• define Web ACL
  • IP 세트를 정의
  • SQL 주입 , XSS 방지
  • 지역-match (block countries)

WAF- fixed IP using WAF with a Load Balancer

• WAF는 계층 7 Application load balancer 만 가능 network load balancer는 안됨
• application load balancer 는 고정 ip 없음
• global accelerator 를 사용해서 고정 ip

AWS Shield

디도스 공격으로부터 스스로를 보호하기 위한 서비스

디도스 : 분산 서비스 공격 , 인프라에 과부하 일으키는 것

aws firewall manager

• aws organizations 에 있는 모든 계정의 방화병 규칙을 관리하는 서비스
• 모든 계정 내의 ec2 보안그룹과 aws shield advanced를 중앙에서 관리하기 위해 사용

AWS GuardDuty

CloudTrail log ,VPC Flow log , DNS log 데이터 소스 스캔

amazon inspector

ec2 인스턴스의 os 취약점을 분석하려 한다. 취약점 발견시 구체적인 권장사항 제공

amazon Macie

머신 러닝을 사용해 s3 버킷 내에 저장된 민감한 데이터를 발견하고 보호한다.

개인 식별 정보 (PII)와 같이 민감한 데이터를 식별해 경고도 준다.