[AWS Cloud Practitioner] AWS 보안 서비스 (AWS Shield, AWS KMS, AWS WAF, Amazon Inspector, Amazon GuardDuty) + 연습문제

DDoS(분산 서비스 거부) 공격은 여러 소스를 사용하여 웹 사이트 또는 애플리케이션을 사용할 수 없도록 만드는 공격을 뜻한다. 공격자는 감염된 여러 컴퓨터 (또는 '봇')을 사용하여 과도한 트래픽을 발생시켜 웹 사이트 또는 애플리케이션을 마비시킨다. 

장난 전화를 거는 것과 비슷한데 가게에 여러명이 동시에 전화를 걸어 전화량이 늘게 되면 실제 이용객들이 전화를 거는것이 어려워지는 것과 같은 원리다. 

 

AWS는 이런 DDoS 공격으로부터 애플리케이션을 보호하기 위한 서비스를 제공하는데 바로 AWS Shield. 해당 서비스는 Standard와 Advance로 나뉜다.

 

AWS Shield Standard

- 모든 AWS 고객을 자동으로 보호하는 무료 서비스 

- 자주 발생하는 일반적인 DDoS 공격으로부터 AWS 리소스를 보호 

- 네트워크 트래픽이 애플리케이션으로 들어오면 다양한 분석기법을 사용해 실시간으로 악성 트래픽을 탐지

 

AWS Shield Advanced

- 상세 공격 진단 및 정교한 DDoS 공격을 탐지하는 유료 서비스 

- Amazon CloudFront, Amazon Route 53, Elastic Load Balancing과 같은 다른 서비스와도 연동 가능 

- 복잡한 DDoS 공격을 완화하기 위한 사용자 지정 규칙을 작성해 AWS WAF와 통합 가능 

 

 

AWS Key Management Service (AWS KMS)

: 모든 데이터는 저장 상태일 때부터 전송될 때 까지 안전하게 유지되어야한다. AWS KMS는 임의의 숫자 문자열로 이루어진 암호화 키를 생성, 관리할 수 있도록 돕는 서비스로 데이터를 암호화하여 관리할 수 있다. 

 

- 암호화 키를 생성, 관리 할 수 있음 

- 광범위한 서비스 및 애플리케이션에서 키 사용을 제어할 수 있음 

- 키에 필요한 엑세스 제어를 특정 수준으로 선택 할 수 있음 ex) 키를 관리할 수 있는 IAM 사용자 및 역할을 지정할 수 있음

- 더이상 사용하지 않는 키를 일시적으로 비활성화 할 수 있음 

- 키는 AWS KMS를 벗어나지 않으며 사용자가 항상 키를 제어할 수 있음 

 

AWS WAF 

: 웹 애플리케이션으로 들어오는 네트워크 요청을 모니터링 할 수 있는 웹 애플리케이션 방화벽. 

지정한 IP 주소에서 나온 요청을 제외한 모든 요청을 허용하도록 웹 ACL을 구성하면 AWS WAF는 요청이 들어올 때마다 웹 ACL에서 구성한 규칙 목록을 화용하여 차단된 IP 주소 중 하나에서 나온 것이 아닌지 확인한다. 목록에 없는 IP의 경우 애플리케이션에 대한 엑세스가 허용되지만, 차단 IP 목록 중에 포함되는 경우 엑세스를 거부한다. 

 

-  Amazon CloudFront 및 Application Load Balancer와 함께 작동

- 트래픽을 차단하거나 허용

- AWS 리소스 보호를 위해 웹 ACL(엑세스 제어 목록) 사용

 

 

Amazon Inspector

: 자동화된 보안 평가를 실행하여 Amazon EC2 인스턴스에 대한 오픈 엑세스, 취약한 소프트웨어 버전 등과 같은 모법사례 위반 및 보안의 취약성을 검사한다. 

 

- 평가 수행 후 보안 탐지 결과 목록 제공 

- 심각도 수준에 따라 우선순위 결정하여 각 보안 문제에 대한 설명과 권장 해결방법 제시

- 모든 잠재적 보안 문제 해결을 보장하지는 않음. 공동 책임 모델에 따라 해당 서비스에서 실행되는 애플리케이션, 프로세스 및 도구의 보안에 대한 책임은 고객에 있음 

 

Amazon GuardDuty

: 인프라 및 리소스에 대한 지능형 위협 탐지 기능을 제공. AWS 환경 내의 네트워크 활동 및 계정 동작을 지속적으로 모니터링하여 위협을 식별

 

- VPC Flow Logs 및 DNS 로그를 비롯한 여러 AWS 소스의 데이터를 지속적으로 분석

- 추가 보안 소프트웨어 배포 또는 관리 필요 없음 

- 위협을 탐지한 경우 AWS Management Console에서 자세한 탐지 결과를 검토할 수 있음 

- 보안 탐지 결과에 대해 자동으로 문제 해결 단계를 수행하도록 AWS Lambda 함수를 구성할 수 있음 

 

 

다음 중 애플리케이션을 분산 서비스 거부(DDoS) 공격으로부터 보호하는 데 도움이 되는 서비스는?

1. Amazon GuardDuty Amazon GuardDuty는 AWS 인프라 및 리소스에 대한 지능형 위협 탐지 기능을 제공하는 서비스

2. Amazon Inspector Amazon Inspector는 Amazon EC2 인스턴스에 대한 오픈 액세스, 취약한 소프트웨어 버전 설치와 같은 보안 모범 사례 위반 및 보안 취약성을 애플리케이션에서 검사

3. AWS Artifact AWS Artifact는 AWS 보안 및 규정 준수 보고서와 일부 온라인 계약에 온디맨드로 액세스할 수 있는 서비스

4. AWS Shield

다음 중 AWS Key Management Service(AWS KMS)가 수행할 수 있는 작업은?

1. Multi-Factor Authentication(MFA)을 활성화 Multi-Factor Authentication(MFA) 구성은 AWS Identity and Access Management(IAM)에서 수행할 수 있음

2. AWS 계정 루트 사용자 암호 업데이트 AWS 계정 루트 사용자 암호 업데이트는 AWS Management Console에서 수행할 수 있음

3. 암호화 키 생성

4.사용자 및 그룹에 권한 할당 사용자 및 그룹에 권한 할당은 AWS Identity and Access Management(IAM)에서 수행할 수 있음