-
[aws summit seoul 2023] 당신만 모르고 있는 AWS 컨트롤 타워 트렌드AWS 2024. 3. 28. 15:13
#aws summit seoul 2023 에서 발표된 당신만 모르고 있는 AWS 컨트롤 타워 트렌드 영상을 보고 정리한 내용입니다.
22년 기준 국내 클라우드 도입 46%, 글로벌 68% 증가
AI 도입 국내 14%, 글로벌 34% 증가
클라우드 보안침해 사고 증가
- 불충분한 자격증명 관리 - IAM full 권한으로 부여하지 않았는지?
- 부적절한 변경 제어 - 컴퓨팅 리소스의 방화벽 규칙
- 데이터 유출 - 데이터 스토리지 권한이 공개되어 있지 않은지?
보안은 자동화 / 체계화 하는 것이 중요함
해커들이 권한을 획득한 후 바로 공격을 시작하지 않고 리소스를 몇개 생성해 보는 등 권한을 누군가 탈취한 것을 인지하는지 확인한 후에 시작함
- 부모님 - 컨트롤 타워 마스터 / 최상위 계치
- 아기 침대 - 아기가 떨어지지 않게 보호 - 예방 / 탐지 가드레일 (aws account 정책 보호 수단)
- 아기 - aws account / 계정, 사용자 , 리소스 등 보호 받을 대상
- 장난감 - 아기 친구 / 네트워크, 보안, 모니터링 서비스
- 컨트롤 타워: AWS 멀티 어카운트에 대해 organization 을 구성하고 랜딩존 생성 자동화
- root OU / security OU : 컨트롤 타워 구성에 꼭 필요
- root OU :
- IAM identity center 통해서 sso portal 생성 및 사용자 권한 관리 진행
- account factory 를 사용하여 모범사례 기반으로 멀티 어카운트 프로비저닝 가능
- security OU :
- 생성된 멀티 어카운트를 보안관리 서비스를 통해 중앙 집중식 모니터링 진행
- KMS - 키 관리 서비스
- guardduty - vpc flowlog 기반으로 패킷 분석, 침입 탐지 서비스
- inspector - 이미지 취약점 분석
- macie - 스토리지에 저장된 개인/민감정보가 위협에 노출되기 전에 사용자에게 알려주는 AI 탐지 서비스
- shared OU
- 백업, CI/CD 를 위한 중앙관리
- root OU :
예시 ) AWS 리전 비활성화 방법 (Region Deny)
- 서울 리전만 사용하는데 30개 해외 리전의 권한을 사용할 수 있도록 부여할 필요 없음
- aws control tower 를 사용하여 organization 에 속하면 설정 가능
- DENY 우선순위 제일 높음 - 차단되면 안되는 서비스를 나열
- Condition 요소로 차단하지 않을(사용할) 리전 명시
Preventive Guardrail (예방)
- AWS SCP 로 구성, 항상 준수해야 함 → 절대 어기면 안되는 것
Detective Guardrail (탐지)
- AWS Config 로 구현 → 기준을 어겼을 때 탐지받고 싶은 것 (준수/미준수 탐지)
- K-ISMS 샘플 템플릿 배포 : K-ISMS 심사 항목들을 AWS CONFIG 에 탐지룰로 구현 (모든 항목을 포함하고 있지는 않음)
- control list 는 약 350여개, 활성화 후 OU 전파 가능
AWS IAM Identity Center
- Single Sign On 의 후속 서비스
- 멀티 어카운트를 하나의 사용자 계정으로 통합해서 사용 가능 / MFA 적용 가능
AWS Control Tower Compliance Monitoring - 컨트롤 타워의 BI 서비스
- audit 계정에서 athena 쿼리 사용하여 결과값 조회
- UI 로 보고 싶을 때는 Quick sight 서비스로 조회 가능
- Config Notification 을 통해 알람 전송 가능
농심 차세대 SAP 마이그레이션 프로젝트에 적용
- 조직간 독립된 계정
반응형'AWS' 카테고리의 다른 글
[aws summit seoul 2023] 불확실성 시대의 대응, HPC Cloud Bursting 사례 (0) 2024.04.26 [aws summit seoul 2023] LG유플러스 IPTV 서비스, 무중단 클라우드 마이그레이션 이야기 (0) 2024.04.08 [aws summit seoul 2023] Amazon EKS, 중요한 건 꺾이지 않는 안정성 (1) 2024.03.18 [aws summit seoul 2023] 12가지 디자인 패턴으로 알아보는 클라우드 네이티브 마이크로서비스 아키텍처 (0) 2024.03.15 [aws summit seoul 2023] 삼성전자/쿠팡의 대규모 트래픽 처리를 위한 클라우드 네이티브 데이터베이스 활용 (0) 2024.03.04