[aws summit seoul 2023] 당신만 모르고 있는 AWS 컨트롤 타워 트렌드

#aws summit seoul 2023 에서 발표된 당신만 모르고 있는 AWS 컨트롤 타워 트렌드 영상을 보고 정리한 내용입니다.

22년 기준 국내 클라우드 도입 46%, 글로벌 68% 증가

AI 도입 국내 14%, 글로벌 34% 증가

클라우드 보안침해 사고 증가 

• 불충분한 자격증명 관리 - IAM full 권한으로 부여하지 않았는지?
• 부적절한 변경 제어 - 컴퓨팅 리소스의 방화벽 규칙
• 데이터 유출 - 데이터 스토리지 권한이 공개되어 있지 않은지?

보안은 자동화 / 체계화 하는 것이 중요함 

해커들이 권한을 획득한 후 바로 공격을 시작하지 않고 리소스를 몇개 생성해 보는 등 권한을 누군가 탈취한 것을 인지하는지 확인한 후에 시작함

• 부모님 - 컨트롤 타워 마스터 / 최상위 계치 
• 아기 침대 - 아기가 떨어지지 않게 보호 - 예방 / 탐지 가드레일 (aws account 정책 보호 수단)
• 아기 - aws account / 계정, 사용자 , 리소스 등 보호 받을 대상
• 장난감 - 아기 친구 / 네트워크, 보안, 모니터링 서비스 

• 컨트롤 타워: AWS 멀티 어카운트에 대해  organization 을 구성하고 랜딩존 생성 자동화 
• root OU / security OU : 컨트롤 타워 구성에 꼭 필요 
  • root OU :
    • IAM identity center 통해서 sso portal 생성 및 사용자 권한 관리 진행
    • account factory 를 사용하여 모범사례 기반으로 멀티 어카운트 프로비저닝 가능 
  • security OU : 
    • 생성된 멀티 어카운트를 보안관리 서비스를 통해 중앙 집중식 모니터링 진행 
    • KMS - 키 관리 서비스 
    • guardduty - vpc flowlog 기반으로 패킷 분석, 침입 탐지 서비스
    • inspector - 이미지 취약점 분석
    • macie - 스토리지에 저장된 개인/민감정보가 위협에 노출되기 전에 사용자에게 알려주는 AI 탐지 서비스 
  • shared OU
    • 백업, CI/CD 를 위한 중앙관리

 

예시 ) AWS 리전 비활성화 방법 (Region Deny)

• 서울 리전만 사용하는데 30개 해외 리전의 권한을 사용할 수 있도록 부여할 필요 없음 
  • aws control tower 를 사용하여 organization 에 속하면 설정 가능
• DENY 우선순위 제일 높음 - 차단되면 안되는 서비스를 나열
• Condition 요소로 차단하지 않을(사용할) 리전 명시

Preventive Guardrail (예방)

• AWS SCP 로 구성, 항상 준수해야 함  → 절대 어기면 안되는 것 

Detective Guardrail (탐지)

• AWS Config 로 구현 → 기준을 어겼을 때 탐지받고 싶은 것 (준수/미준수 탐지) 
  • K-ISMS 샘플 템플릿 배포 : K-ISMS 심사 항목들을 AWS CONFIG 에 탐지룰로 구현 (모든 항목을 포함하고 있지는 않음)

• control list 는 약 350여개, 활성화 후 OU 전파 가능 

 

AWS IAM Identity Center

• Single Sign On 의 후속 서비스 
• 멀티 어카운트를 하나의 사용자 계정으로 통합해서 사용 가능 / MFA 적용 가능 

AWS Control Tower Compliance Monitoring - 컨트롤 타워의 BI 서비스 

• audit 계정에서 athena 쿼리 사용하여 결과값 조회 
• UI 로 보고 싶을 때는 Quick sight 서비스로 조회 가능 
• Config Notification 을 통해 알람 전송 가능 

 

농심 차세대 SAP 마이그레이션 프로젝트에 적용 

• 조직간 독립된 계정