www.cloudsec.com | #CLOUDSEC

On-Premise vs AWS 보안관련가장많은질문

이상오 SA

GS네오텍

@renjoy

“CLOUD SECURITY CHALLENGES”

#CLOUDSEC

CLOUD MARKET

약 45% 차지

#CLOUDSEC

CLOUD INVESTMENTS

IT infrastructure

38%

0% 1-15% 16-25% 26-50% 51-75% +75%

12% 13%9% 7%

Share of cloud relative to overall IT investment

50%Organizations invest morethan 15% of all IT in cloud

21%

Datasource : “Cloud Security Spotlight report 2016” by cloudpassage

#CLOUDSEC

CLOUD 도입 장벽

#1

53%

Generalsecurity risks

8%p.p.from last year

#2

42%

Legal & regulatorycompliance

13%p.p.from last year

#3

40%

Data loss &leakage risks

1%p.p.from last year

#4

35%

Integration withexisting IT environments

6%p.p.from last year

#5

26%

Lack ofexpertise

10%p.p.from last year

Datasource : “Cloud Security Spotlight report 2016” by cloudpassage

#CLOUDSEC

클라우드에서 가장 큰 보안위협

#1 #2 #3 #4

11001010110010101010PASSWORD101100101011001010111001010110010101

53%Unauthorized access

44%Hijacking of accounts

39%Insecure interfaces/APIs

33%External sharing of data

Datasource : “Cloud Security Spotlight report 2016” by cloudpassage

#CLOUDSEC

22%Lower risk of securitybreaches compared

to on-premise

Significantly lower (7%)Somewhat lower (15%)

0%unchanged

21%Higher risk of securitybreaches comparedto on-premise

Significantly higher (5%)Somewhat higher (16%)

7% p.p.from last year

About the same

SECURITY RISKS IN THE CLOUD VS ON-PREMISE

Datasource : “Cloud Security Spotlight report 2016” by cloudpassage

Not sure

“ THE MOST FREQUENT QUESTION ”

#CLOUDSEC

Q #1 : AWS클라우드 IDC에현재사용중인 IPS/IDS 장비를넣을수있나요?

#CLOUDSEC

Q #1 : AWS 클라우드 IDC에현재사용중인 IPS/IDS 장비를넣을수있나요?

“AWS 인프라구성정보”

“해당인프라위치정보”

A : AWS는외부인프라인입및어떠한출입도허용하지않습니다.

비공개

“물리적인프라정보제공및출입통제”

#CLOUDSEC

Q #2 : AWS환경에도 IPS/IDS/WAF와같은보안솔루션을사용할수있나요?

#CLOUDSEC

Q #2 : AWS환경에서 IPS/IDS/WAF와같은보안솔루션을사용할수있나요?

A : 사용할 수 있습니다. AWS는 Maket(http://aws.amazon.com/marketplace)을통해 다양한 3rd Party 솔루션을 제공하고 있습니다. 이중에는 IPS / IDS / WAF / DB 접근제어 솔루션도 포함하고 있습니다.

#CLOUDSEC

Q #3 : 내부보안정책상 ON-PREMISE상의 IPS/IDS를통해트래픽을처리되어야하는데, 어떻게하나요?

#CLOUDSEC

AWS 리전

App계층

데이터 센터

인터넷

Web계층

DB계층

고객별 (보안, 규정) 적용 계층 (DMZ)

S3

Direct Connect / VPN

Q #3 : 내부보안정책상 ON-PREMISE상의 IPS/IDS를통해트래픽을처리되어야하는데, 어떻게하나요?

A : AWS를서비스의 Back-end로구성하여, 고객사의네트웍/보안규정을적용할수있습니다.

#CLOUDSEC

Q #4 : AWS환경에서네트워크트래픽에대해로깅을할려면어떻게해야하나요?

#CLOUDSEC

A : 특정 VPC에서 Flow Logs를 사용하여 VPC 서브넷과 Elastic NetworkInterface(ENI)의 네트워크 트래픽에 대해 로깅할 수 있습니다.

Q #4 : AWS환경에서네트워크트래픽에대해로깅을할려면어떻게해야하나요?

#CLOUDSEC

Q #5 : AWS에서제공하는보안기능은어떤것들이있나요?

#CLOUDSEC

AWS 컴플라이언스 프로그램

AWS 물리적 출입 통제물리적

SECURITY GROUP

VPC NACL

네트워크

VPC FLOW LOG

BASTION HOST / NAT

HTTPS / SSL / TLS

SERVICE CATALOG

CONFIG

시스템

보안

IAM(MFA/ROLE)

CLOUD WATCH LOGS

KMS

CLOUD HSM

데이터

보안

CLOUD TAIL

Q #5 : AWS에서제공하는보안기능은어떤것들이있나요?

CLOUD TAIL

#CLOUDSEC

AWS VPC

(Virtual Private Cloud)

방화벽 – NACL, Security Group

VPC Flow Logs(방화벽 로그) Managed NAT

AWS WAF

웹 요청 필터링 – IP, 문자열,SQL injection

Amazon Cloudfront 연계 대쉬보드

네트워크 보안

#CLOUDSEC

시스템 보안

AWS

CloudTrail

모든 리전에 대한 일괄 활성화

무결성 & 암호화 Archive & Forward

AmazonCloudWatch

Amazon CloudWatch Logs

메트릭 & 필터 경보 & 통지

AWS

IAM

SMS 기반 MFA

Policy Simulator Console Search

#CLOUDSEC

데이터 보안

AmazonCloudHSM

AWS KMS Encrypted

DATA

ServerSide Encryption 지원

ClientSide Encryption지원

AWS KMS와 연동 지원

타 AWS 서비스들과 연계

CloudTrail 연계

AWS SDK for application

encryption

전용 HSM

on-premises HSM 장비와 연계

하이브리드 아키텍쳐

SafeNet의 Luna SA HSM을사용

#CLOUDSEC

Q #6: Autoscaling 을사용했을때, Scale-Out된서버가 Scale-In 될때로그를어떻게보관해야하나요?

#CLOUDSEC

Q #6: Autoscaling 을사용했을때, Scale-Out된서버가 Scale-In 될때로그를어떻게보관해야하나요?

A : AWS는 필요한 로그 저장을 위해 Cloud Watch Logs라는 인터페이스를 제공합니다.사용하는 Cloud Watch Logs를 통해, 필요한 보안/서비스/Application 로그를S3저장할수 있습니다.

Data Source : AWS Blog(https://aws.amazon.com/blogs/aws/cloudwatch-log-service/)

#CLOUDSEC

Data Source : AWS Blog(https://aws.amazon.com/blogs/aws/cloudwatch-log-service/)

[ 수집된로그리스트 ]

#CLOUDSEC

[ Metric Filter 설정 ]

Data Source : AWS Blog(https://aws.amazon.com/blogs/aws/cloudwatch-log-service/)

#CLOUDSEC

[ Alarm 설정 ]

Data Source : AWS Blog(https://aws.amazon.com/blogs/aws/cloudwatch-log-service/)

#CLOUDSEC

CloudWatch 지표CloudWatch

Logs

CloudWatch

Alarm

SNS virtual private cloud

EC2

Amazon Linux

Log Agent

EC2

Windows

Config

EC2

Ubuntu Linux

Log Agent

EC2

RHEL

Log Agent

CloudWatch Logs 이용 Architecture

#CLOUDSEC

Q #7: 파일시스템레벨의암호화를지원하나요?

#CLOUDSEC

Your applications in your

data centerYour applications in

Amazon EC2

AWS Storage Services

S3 Glacier Redshift RDS forOracle

RDS forMS-SQL

EBS

HTTPS

Server Side Encryption

#CLOUDSEC

S3 Server Side Encryption

#CLOUDSEC

EBS Server Side Encryption

#CLOUDSEC

Encryption

자세한 정보가 담긴 백서 : https://media.amazonwebservices.com/AWS_Securing_Data_at_Rest_with_Encryption.pdf

저장시암호화

전송중암호화

HTTPS SSH

SSL / TLS

VPN

OBJECT

저장시암호화

DATABASE

FILE SYSTEM

SSH DISK

OBJECT

#CLOUDSEC

Q #8: 저희는서비스특성때문에물리적서버를저희만사용해야하는정책이있습니다.따라서저희만사용가능한물리적서버를제공받을수있습니까?

#CLOUDSEC

EC2 Dedicated Hosts 서비스

전용서버의사용을강제하는경우

Core혹은 Socket기반의 Licensing을강제하는경우

일정기간동안물리적장치로부터 License를이동할수없는경우

물리적서버의 Utilization을 Reporting해야할의무가있는경우

정책적이유로물리적서버를다른업체와공유할수없는경우

#CLOUDSEC

Q #9: AWS가이야기하는책임공유모델은무엇인가요?

#CLOUDSEC

Cust

om

ers

스토리지

AWS 글로벌

인프라

데이터베이스 네트워킹

클라이언트 측 데이터 암호화및 데이터 무결성 인증

AWS 기본 서비스

서버 측 암호화(파일 시스템 or 데이터)

네트워크 트래픽 보호(암호화/무결성/자격 증명)

플랫폼, 어플리케이션, 신원 및 접근 제어(IAM)

운영체제, 네트워크, 방화벽 설정

고객 어플리케이션 및 컨텐츠

책임공유모델

컴퓨팅

REGION

가용영역엣지 로케이션

Data source : AWS Seoul Summit 2016

고객은 AWS상의

고객환경에 대한

보안/통제를 담당

AWS는 클라우드

자체의 보안/통제를

담당

#CLOUDSEC

Q #10 : GS네오텍은 AWS와무슨관계인가요?

#CLOUDSEC

• 콘텐츠 전송 서비스 (Content Delivery Network)

• 경력 10년 이상의 전문 전담 기술지원팀

• 국내 No.1 (업계 1위의 기술력, 고객사 보유)

국내 포털 업계 1위 고객 포털

쇼핑몰 Top10 중 6개 고객

게임 Top10 중 5개 고객(국내 최대 게임트래픽)

교육 Top5 중 4개 고객

미디어 Top5 중 3개 고객

AWSCloud ServiceCDN

• Amazon Web Services를 활용한 안정성과 확장성이

뛰어난 인프라 플랫폼 서비스제공

• 사용 기준에 따른 다양한 Billing 레포팅

• 국내 최초 AWS Premier Consulting Partner 인증

• AWS Managed Service Partner 인증

IT Division

CDNBusiness

CLOUDBusiness

ICTBusiness

NIBusiness

기업신용평가등급

AA

자체

특허보유(고성능 서버기술)

ISMS인증

(정보보호관리체계)

1974년 설립(대표이사 남기정)

직원 수 950여명

연 매출 약 7천억원

서울시 구로구 경인로 576

GS네오텍 빌딩

GS네오텍소개

GS 네오텍

#CLOUDSEC

보안전문가 네트워크전문가

개발전문가

솔루션아키텍트

비용분석전문가

분야별 전문가로 구성된 “전문팀” 보유

#CLOUDSEC

Q #00 : 그밖에참고할만한 AWS 보안관련서비스?

#CLOUDSEC

AWSConfig

AWSInspector

리소스 인벤토리,

구성기록/변경알림

시간 순서 별 변경

내역 추적

규정준수감사/보안분석

리소스변경 추적등 수행

어플리케이션 환경 스캐닝

빌트인 룰셋 – CVE(취약점),

운영체제, 네트웍, 인증,

어플리케이션

감사 패키지 – PCI-DSS

AWSCloudFormation

회사 보안 정책의 코드화

Config Rules + 람다를

활용하여 정책의 강제 집행

AmazonConfig Rules

회사정책, 모범사례 기준

위배 사항 적발

위배 사항에 대한 자동 조치

필요시, 별도 워크플로 병합

#CLOUDSEC

인프라보안 로깅모니터링 접근제어 취약점제어 데이터보안

AWS Market을통해다양한보안솔루션을이용할수있습니다.

#CLOUDSEC

AWS 보안 포털

AWS 보안 포털(http://aws.amazon.com/security)을 통해 다양한 문서 및 정보를 제공받을수 있습니다.

보안리소스

취약점리포팅

침투테스트

보안게시판

보안프로세스소개

AWS Risk 및 Compliance

AWS 보안 Best Practice

이상오

GS네오텍renjoy@gsneotek.co.kr

@renjoy