아마존 클라우드 AWS Essential 9강 보안을 고려한 구성 > AWS 클라우드

 

이번 시간에는 aws 에서 보안을 고려한 구성 중에서 사용자 및
권한에 내 보안
두번째로 어플리케이션 레벨의 보안
세번째로 데이터 전송과 저장에 대한 보안에 대해서 말씀드리도록 하겠습니다.
예 aws 사용자 및 권한에 보안 중에서 가장 많이 활용하는게
아이덴티티 nss 매니지먼트 i am 이라고 말하는 서비스인데요
i am 서비스는 사용자의 aws b 소스와 서비스에 대한 액세스를
안전하게 통제하고 특히 접근권 암과 인증 등을 중앙 관리 하는 서비스
따라고 보실수가 있습니다.
특히 aws 혹은 클라우드 위에서는 다양한 사용자들 그리고 다양한
서비스들이 올라오게 되는데 각각 4 서비스 별로 각가지 사용자별로 고난
들을 분리하고 인증을 별도로 가져가면서 여러분들 효율적으로 관리를 하실
수가 있다 라고 말씀드릴 수 있습니다.
그래서 i am 을 사용하면 은 aws 개정안의 여러 사용자들이 권한과
인증을 관리할 수가 있구요.
쉽게 말씀드려서 여러분들의 개발팀이 있을거고 엔지니어링 팀이 있을꺼고
사업팀 있을건데 각각의 권한의 맞게끔 aws 접근에 대한 부분은 관리를
하실 수가 있다 라고 말씀드릴 수 있습니다.
그 다음에 암호 및 엑세스 키를 서로 공유할 필요가 없이 관리자가
중앙에서 관리를 하기 때문에 사용자 권한 들을 중앙에서 운영을 하실 수가
있다 라고 말씀드릴 수가 있습니다. 그래서
aw siam 에서 특히 이제 승인 권한 자격 증명 다음에 사용자 그
그룹에 대한 부분을 설정을 하실 수가 있습니다.
i am 에 대한 구성 요소에 대해서 간략하게 살펴보도록 하겠습니다.
첫번째로 롤 에 대한 부분 특정 aws 리소스에 액세스하기 위한 접근을
하기 위한 허난 들의 집합 이라고 보실수가 있습니다.
아래의 연관되는 제 정책에 대한 부분과 연관이 되는데 이런 권한 같은
경우는 각각의 aws 에 접근을 하고 혹은
라이트를 할 수도 있는 활용할 수도 있는 권한을 가지고 있는게 이루리라
고 볼 수가 있구요.
그리고 이제 정책 같은 부분은 이 작업 목적에 따라서 이런 권한 될
물들이 있을거구요
뭐 예를 들면 미드에 대한 권한 만 가질 수 있는 정책이 수도 있고 혹은
리드 라이트를 다 갖고 있는 정책이 수도 있고 이런 것들에 이제 묶음의
단위라고 보실수가 있습니다.
그래서 이 권한의 묶음의 단위가 정책으로 나오고요 정책에 대한 것들을
사용자나 공금 그룹의 할당을 시킬수가 있습니다.
그래서 이 사용자와 그룹 세번째 사용자와 그룹은 여러분들이 원하는 대로
그룹핑 을 하실 수가 있구요. 사용자를 만드실 수가 있구요.
이거에 합당한 은 정책 뜩 정체 안에는 당의 롤 들이 있을 거구요
그래서 이런것들을 탈당을 하신다면 은 보다 더 효과적으로 관리를 하실
수가 있구요.
그 다음에 리 소스 베이 베 이 스 트 8 st
이거 같은 경우는 리소스 단위로 권한을 부여 를 a 더 오래 살 수가
있습니다.
실제로 이 하나의 이스트 인스턴스가 s3 또 연동을 해야 되고 호건 1
안색 및 유스 도 연동 해야 된다 라고 했을 때는 이 각각의 aws 이
스트리 소스가 권한이 가지고 있어야 되는데
이거에 대한 부분 이라고 말씀드릴 수가 있습니다. 그래서 있었으 단위로
권한을 부여할 작업과 그리고 리스 영양 발리 소스를 지정하고 그리고
사용자 앞뜰 역시도 명시적으로 지정하고 관리하실 수 있는 게
그런데 i am 액 요소라고 볼 수 있습니다.
aws 에서는 그런 권 안
awb 소스를 사용하는 코는 뿐만이 아니고 여러분들의 어플리케이션의
사용자들에 대한 권한 역시도 코코니 털을 통해서 서비스 화 시켜서
제공하고 있습니다.
앞에서 말씀드렸다 i am 이라는 것들은 aws 일이 소스를 활용을 하는
사용자들 및 권한에 대한 보안 이었구요
그리고 코코니 터 같은 경우는 실제로 여러분들 어플리케이션을 사용 어를
하는 유저들 에 대한 권한 이라고 보실수가 있습니다.
그래서 여러분들이 앱을 하나 개발 하신다 라고 했을때 숫자로 인증 서버를
그의 만에 다가 구성을 하신다 거나 혹은 어떻게 10대 시스템으로 구성
할 수 있고 관리하시기 는 어려울 거 고요 그 외에 대해서 특히 최근
같은 경우는 3 이스 북이나 굴 같은
그리고 아마 돈가 같은 자격 증명 공급자 를 활용을 많이 하시고요
이거에 대해서 시체를 aws 에서 도코 모니터를 통한다.면 은 이런 것들이
여러분들이 선택을 하셔서 어떤 자격증명 공급자 를 활용을 할껀지 연동 만
한다.면은 선택만 한다.면은 여러분들이 앱을 구성을 할 때 간단하게 기능을
제공하고 있구요.
그리고 또한 여러분들이 치치 직접 자격증명을 운영을 하셔야 되겠다
유저에 대한 권한이 라던가 이런 것들을 직접 운영 하셔야 되겠다
회원 관리를 직접 받겠다 라고 했을때 역시도 코크 데이터를 통해서
간단하고 손쉽고 안정적이게 여러분들이 관리를 하실 수가 있습니다. 그래서
사용자 인증을 간편하고 안전하게 관리하는 서비스다 라고 말씀드릴 수가
있구요.
말씀드렸던 것처럼 aws 에서 완전 관리형 사용자 서비스 구요
이거에 대해서 특히 회원정보 같은 경우는 보안 이라던가 혹은 추후에
회원이 많아졌을 때 확장에 대해서 고민을 하셔야 되는데 예를 들면
데이터베이스를 빌려야 되는 상황이 펼쳐질 수도 있고요 아니면 인증에 대한
부분에 다양한 보안 시스템 들을 연동을 시켜야 될 건데
이거에 대해서 보다 자유롭고 그리고 그 때 즉시 즉시 할 수가 있기
때문에 비용 효율적이다 라고 보실수가 있습니다. 그래서 실제로 로그인
요청을 하면 은 콕 은 이터를 통해서 뭐 id 또한 요청을 하겠구요
이거에 대해서 구글과 페이스북 같은 곳에 즉 확인 요청을 콩은 이토가
대신 해준다 라고 보실 수 있습니다.
 두번째 aws 어플리케이션의 보안에 대해서 알아보도록 하겠습니다.
여러분들이 aws 위해서 하나의 폭은 웹을 구성을 하신다 라고 했을 때는
다양한 보안 시스템이 함께 존재해야 되는거구요
그 중에서도 가장 기본적인 네트워크에 대한 보 안과 서버 접근에 대한
보안 2
시큐리티 그룹이라고 보실수가 있습니다. 그래서 하나의 이상의 인스턴스에
대한 트래픽 추측의 묶음을 정리를 하는 서비스 구요
이 스크립트 그룹에 있는 인스턴스 들의 트래픽을 제어하고 관리하는 방화벽
역할에 서비스 다 라고 볼 수 있습니다.
실제로 엄밀히 말하면 방화벽 일하는 것보다 엑세스 컨트롤 해주는 하나의
룰 셋이 다 라고 보실 수 있습니다.
그래서 들어오는 인바운드 트래픽 혹은 나가는 아빠한테 트래픽 뜰을 제어
하고요
그리고 이 그룹은 여러분들이 원하는 대로 원하는 만큼 언제든지 자동 변경
가능하고요
그리고 자동으로 해당 그룹에 있는 인스턴스 틀의 적용이 됩니다.
여러분들이 특정 뭐 ip 소스 ip 에서 공격이 들어오고 있다 라고 했을
때는 이 시큐리티 그룹을 통해서 제어를 하실수도 있구요.
혹은 뒤에서 말씀드린 vpc 를 통해서 제어를 하실 수도 있습니다.
시큐리티 그룹에 대해서 보다 조금더 상세하게 말씀을 드리도록 하겠습니다.
실제로 aws 에서 시키 리트 그룹을 여러분들이 구성을 하신다 라고 했을
때
특히 만약에 여러분들이 3t 어에 어플리케이션 구조의 서비스를 설계를
하신다 라고 했을 때는
웹서버가 있을 거고요 그 다음에 뭐 혹은 와 스 서버 도 같이 존재할
수도 있고요 그 다음에 여러분들이 앱 서버 돼 있을 거고요
데이터베이스 서버도 있을거구요 그 다음에 뭐 특정 스토리지가 있을 수도
있을 꺼구요
여러분들이 서비스 특성별로 2 레이어 별로 티가 별로 접근을 해야 되는
외부에 공개를 해야 되는 혹은 액세스해야 되는 포트 들에 대한 목록이
다를겁니다 그에 대해서
웹서버 같은 경우는 못 팔 공간사 3가 웹 기반의 통신을 하기 위한
인터넷으로 웹기반의 통신을 하기 위한 2포트 들을 애니로 오픈을 해야
된다
그리고 액 서버 같은 경우는 여러분들이 뭐 관리를 위해서 접근을 하기
위해서 22번 포트를 열어야 될 수도 있구요.
그리고 데이터베이스 서버 같은 경우에 실제로 외부에서 직접 접근을 할
일은 필요가 없고요
외부의 직접 접근이 가능하며 는 해킹의 위어
그리고 서비스 우리가 가지고 있는 회원정보가 탈 치가 당할 가능성이 있기
때문에 보통 액세스를 인터넷으로 부터는 하지 않도록 방어를 하고 있습니다.
하지만 이 앱 서비스 혹은 웹에서 는 데이터베이스의 접근 가능 해야
되고요
이런 액세스에 대한 리스트들을 관리를 해주는게 시큐리티 그룹 이라고
말씀드릴 수가 있습니다. 그래서 각각의 에 서비스 티어의 구성 별로 서비스
포트를 각각 별도로 구성 가능 하시구요
이 웹 서버 분에서는 804 상 앱 서버 분에서는 뭐 22번 에 대한
부분은 저희가 가지고 있는 데이터 서버 접근 제어 시스템 만 열어 줄
수도 있고요 그 다음에 데이터 서버 같은 경우는 당연히 외부에서 들어온
트래픽은 다 제거하고 외부에서 들어오는 트래픽 득 내부에서 들어오는 트랙
들만 이렇게 여러 줄 수가 있다 라고 보실 수 있습니다. 그래서 이렇게
시크리트 그룹을 통한다.면 여러분들의 서비스의 보안 레벨을 보다 향상시킬
수가 있습니다.
그리고 어플리케이션의 보안 중에서
네트웍에 대한 부분은 시크리트 그룹에 대해서 말씀 드렸구요
하지만 여러분들이 보안패치 라던가 os 에 대한 부분 또 역시 항상 보안
레벨을 높게 가져가셔야 된다라고
제 말씀드릴 수가 있습니다. 그래서 ami 아마 전 머신 이미지의 보안에
대해서 도 여러분들이 신경을 쓰셔야 되는데요
그래서 주기적으로 그 골드 이미지들 을 패치를 해야 되고요
골드 이미지에 대한 보안 패치가 수행하며 는 그 이미지 최신 보안 역 지
적용이 가능해 지는 거고 이 ami 를 통해서 최신 ami 보안 패치 된
최신의 모에 를 통해서 인스턴스 를 배포를 할 때 여러분들이 매번 매번
인스턴스 들을 배포한 다음에 거기다 보안패치를 별도로 들리는 게 아니고
기존에 이 가지고 있는 ami 를 통해서 배포를 하게 된다면 은
여러분들이 굳이 보안패치를 별도로 돌리실 필요는 없고 2
ami 를 통해서만 제 핫 은행 된 이스트 as there's been
쓰되 게 나온다 라고 보실수가 있습니다.
그래서 새로운 패치가 나오면 은 ami 로 항상 그 보안패치를 수행을
하셔야 되는 거구요
재배포 가능 하도록 그리고
어플리케이션 펌 패치가 일어난 이후에 어플리케이션이 정상 동작하지 않을
수도 있기 때문에 이것에 대해서 유물을 항상 확인 하시고
그리고 항상 모든 인스턴스에 적용이 되도록 설계를 하셔야 됩니다.
이렇게 했을때 여러분들의 os 에 대해서 항상 포함 패치를 항상 최신으로
가장 안정적인 보안을 가져갈 수 있을 수가 있구요.
그리고 특히나 aws 에서는 자동화를 할 수가 있기 때문에 체크리스트
라던가 혹은 테스트 스크립트 같은 것들을 프로세스 상으로 자동화 시키는
작업들을 해주시면 은 보다 어플리케이션 보안 레벨에 높은 수준을 가져올
수 있다 라고 말씀드릴 수 있습니다.
aws 에서는 인스펙터 라고 하는 보안 취약점이 라던가 모범 4 일들을
여러분들께 제공을 해주는 서비스가 추가로 존재를 하고 있구요.
이거에 대해서 어플리케이션 의 취약점 모범사례 그 그리고 자동으로 평가
가능하고요
그래서 이런 것들을 통해서 여러분들이 보안 및 규정 준수를 보다 높일 수
있도록 제공하는 서비스다 라고 볼 수 있습니다.
그래서 이 스펙터 같은 경우는 실제로 어플리케이션 레벨의 보안수준을 진짜
이끌어 낼 수가 있는 서비스 잘하고 볼 수가 있고 앞에서 말씀드렸던
당연히 5 시큐리티 그룹 그리고 에 이마에 보안도 여러분들이 관리 목적
에서 높게 가져가셔야 되는거구요
이 스펙터 같은 경우는 실제로 여러분들이 서비스가 러닝 하고 있을 때
다양한 보안 인증 에 대한 그 보험 사례들이 있을 건데 이런 것들을
자동으로 코렉팅 을 해주고 수집을 해주고 어떠한 취약점이 있는지를 분석해
주는 서비스 트다 라고 보실수가 있습니다.
그래서 어플리케이션 보안 문제 파악에 특징을 좀더 가지고 있구요.
그리고 통합되고 자동화된 보안을 가져올 수가 있고요 그 다음에 보안 표준
및 주정을 간소화 시킬 수도 있고요 그 다음에 이런 보안 수준을 항상
자동화 혹은 효율적으로 관리를 해주기 때문에 개발할때 보안 를 보다 더
손쉽게 관리를 하실 수가 있고 이거에 대해서 개발 속도를 보다 높게
향상시킬 수 있다 라고 볼 수가 있습니다.
그래서 실제로 인스턴스 이스트 인스턴스 에이전트를 설치 해서 수집하는
방식이구요
그래서 이 스펙트 에서 종합적으로
취약성 관련 수백개 규칙을 수행을 합니다.
그렇게 되면은 여러분들이 웹 데시보드 라던가 혹은 다양한 그런 모파
서드파티 프로그램을 통해 가지고 여러분들이 중앙에서 이런 것들을 확인하고
관리 하실 수가 있고 어떠한 지금 보안 상황을 보다 높여야 되는지를
명시적으로 직관적으로 보실수가 있습니다.
그래서 인스펙터 에 대한 규칙이 여러가지가 있는데 뭐 가장 대중적인
4가지 주 치게 대해서 이제 설명드리도록 하겠습니다.
첫번째로 말하는 이제 cve 라고 하는 제 보안 취약점에 대한 잘 알려진
법
보안취약점 그리고 뭐 공개된 위험 도출에 대한 참조 방법들을 제공하는
하나의 패키지 고요
이거에 대해서는 에이터 블리스 에서도 최신의 패키지를 항상 적용해서
관리하고 있기 때문에 여러분이 를 별도의 보안 규칙 패키지를 운영 하실
필요가 없이 스펙터 를 통해서 이런 공개된 위험 도출에 대한 삼성
방법들을 확인하실 수 있다 라고 볼 수 있습니다.
그 다음에 cis 라고 하는 보안을 향상시키기 위해 실제 더 잘 정의되고
합의된 업계 보호 모범 사례를 제공하는 서비스 패키지 입니다.
그래서 이러한 모험 사례 같은 경우가 aws 에서 다양한 몹은 사례 3
뜰이 있기 때문에 여러분들이 스펙트 를 통해서 그러면은 이 모범사례 까
잘 알려진 모범 사례와
펜치 마킹을 통해서 여러분들의 서비스의 보안 수준 역시도 그 벤치마킹을
하는 모범사례 엠주 나게 구성을 하실수가 있습니다.
그럼 이 시큐리티 베스트 프랙티스를 하고 하는 위에 말씀드렸던 몸살에 랑
비슷한데 다양한 사례의 를 통해서 여러분들의 시스템 설정이 혹은 구성
들이 보안적인 지 혹은 좀더 보안 수준이 높은지 떨어지는 지를 확인할 수
있는 다양한 사례들을 제시를 하고 있습니다.
예 런타임 비해 비어 분석 2
주치 패키지 의 마지막 부분 이라고 말씀드릴 수가 있습니다.
그래서 실제로 이스턴 스에 지금 행동 상태를 분석을 해서 평가 항목을
통해서 보다 안전하게 구성하는 지침들을 제공하고 있습니다.
4 세번째 aws 의 네트워크 및 데이터 보안에 대해서 말씀드리도록
하겠습니다.
앞에서 말씀드렸던 시 키트 그룹 같은 경우는 이제 네트워크 안에 속해있는
서비스 긴 하지만 보다 어플리케이션 보안 에 가깝기 때문에 어플리케이션
딴 에서 할 수 있는 보안 수준이 이기 때문에 앞에서 말씀 드렸구요
실제로 내 초크 에 대한 부분에 대해서도 말씀드리도록 하겠습니다.
aws 에서는 이런 v pc 란 화는
제 버추얼 프라이빗 클라우드 라고 말하는데요 분리된 가상 네트워크 블럭을
통해서 특히 사용자가 직접 네트워크를 구성하고 그리고 토폴로지를 정리
해서 예를 들면 은 ip 주소 라우팅 테이블
게이트웨이 윗 포항 보안 설정들을 여러분들이 커스텀 하게 구성 가능
하시구요
보안 레벨을 높게 프라이빗한 게 구성 하실수가 있습니다.
그래서 이 vpc 를 여러분들의 생성을 하시고 혹은 aws 에서
기본적으로 제공하는
ot 폴트 vpc 를 활용하실 수도 있고요
그래서 실제로 이스트 인스턴스 들을 여러분들이 aws 위에 vpc 위에
울리게 됩니다.
이스트 네트워크 랩의 미 비 pc 네트워크 바탕 위에 올라 온다고
보실수가 있구요.
그래서 이스트 인스턴스 들 혹은 말 디에스 눈 다양한 네트워크를 활용하고
있는 리소스들을 흐름 역시도 체크를 하실 수가 있고 로깅 하실수가
있습니다.
그리곤 아웃팅 테이블과 게이트웨이 를 통해서 실제로 제가 구성을 하는
서비스가
인터넷으로 나갈 수도 있고 혹은 저희가 가지고 있는 오프라인 이스 데이터
센터로
다이렉트로 올 수도 있는 환경이 구성을 할 수도 있는데요
그에 대해서 라우팅 테이블과 게이트웨이 를 통해서 여러분들이 효율적으로
그리고
효과적으로 관리하실 수 있습니다. 그래서 4 내에서만 연동할 수 있게 홍
본 인터넷만 될 수 있게끔 내 초코 그 섬이 여러분들이 커스텀 하게
가능하시구요
그래서 실제로 여러분들의 이스트 인스턴스를 구성을 할 때 vpc 위에
네트워크를 활용해서 올리게 됐구요
그 v pc 가 만약에 단절이 돼있다 화면은 둘간에 이스트 인스턴스의
네트워크는 외부 를 통해서 나와야 된다 라고 볼수 있습니다. 그래서
여러분이 서비스가 만약에 1 개정안에서 서비스가 다해 진다면 은
vpc 를 뭐 나누는 것도 하나의 방법일 수도 있구요. 아니면 은 서브 4
팅 을 통해서 각각의 네트워크 블럭들을 여러분들이 직접 제어를 하실 수
있는 방법도 있습니다.
v pc 에 다양한 구성 할 수 있는 시나리오 했는데
대표적인 3가지 의 시나리오에 대해서 말씀드리도록 하겠습니다.
첫번째로 단일 퍼블릭 서브 4
vp 쓰 여러분들이 구성하는 어플리케이션이나 혹은 웹서버가 모두다
웹의 있어야 된다 라고 했을 때는 제단 1티어 퍼블릭 웹 pk 전을
구성하는 경우는 이 퍼블릭 서브 내 입만 가지고 있는 vtc 를 구성
하실 수가 있구요.
하지만 데이터베이스가 있다거나 혹은 좀 소중한 데이터가 내 서비스의
저장을 해야 된다 라고 했을 때는 퍼블릭 꽈 프라이 bc 공존하는 vpc
를 구성 을 하셔야 될것
퍼블릭 아까 프레이 pc 공존한다. 라고 했을 때는 당연히 다중 t
어플리케이션에 적합하다 라고 말씀드릴 수가 있구요.
예를 들어서 퍼블릭 웹서버를 퍼블릭 써본 애쓰다가 배치를 하고요 그래서
서블릿 사용자의 트래픽을 퍼블릭 서브 내서 있는 웹서버가 수용을 하고요
하지만 데이터베이스 같은 경우는 직접 고객들이 접근 할 필요가 없으니
프라이빗 서브넷에 둬서
실제로 내부 통신을 통해서 웹 서버와 데이터베이스 서버 간의 통신을 하게
끔 구성하는게 퍼블릭 갚으라 입시 공존하는 vpc 라고 볼 수가 있습니다.
마지막으로 vpn 엑세스를 제공하는 vpc 스테레오 여러분들이 이제
가지고 있는 데이터 센터 혹은 여러분 직접 로컬에 구성하는 프라미스
환경에서
aws 와 연동을 하기 위해 vpn 을 연동하는 케이스도 있습니다.
이퍼블릭 통신이 안 이곳이 q 하고 프라이빗한 통신을 위해서
vpn 은 연동할 수 가 있는데 이때 역시도 aws vpc 를 v pc
의 vpn 소프트웨어 혹은 vpc 에서 제공하는 버 철 게이트 웨이 를
통해서 b 핀 연동을 하실수가 있습니다.
그래서 사설로 통신을 가능하시구요 그래서 이런 것들 까
vpn 엑세스를 통해서 사설 통신을 통해 여러분들이 시큐어 하고
안정적이고 프라이빗한 네트워크 구성을 a 떠올리 스스로 확장 시킬 수가
있는 구성입니다.
4 aws 에서 실제로 모프 pc 에 대한 구성도 여러분들이 구성을
하셨구요 그 다음에 외부로부터 공격이 들어왔을 때 방화벽 웹방화벽 같은
것들을 설치를 하셔야 되는데 그런 서비스가 와 프란은 서비스 라고
보실수가 있습니다.
일반적인 웹 취약점 공격 부터 왜 어플리케이션을 보아는 목적을 가진
웹 어플리케이션 방화벽 이다 라고 보실수가 있습니다.
특히 그 과도한 리소스 사용 공격
뭐 디도스 공격 같은 혹은 sql 잉
인젝션 혹은 주차 사이트 스크립팅 같은
기본적으로 잘 알려진 일반적이 공격 패턴들을 방화벽 웹방화벽 에서 차단을
해 주고요 그리고 저희가 커스텀 하게 사용자에 맞게 끔 설계된 규칙을
만들 수가 있고요
그리고 이 와프 역시도 종량제 에 사용한 만큼의 대한 비용 부족이 때문에
보다 비용 효율적이다 라고 말씀드릴 수 있습니다.
그럼 실제로 일반 사용자가 저희가 구성한 aws
어플리케이션을 접근을 한다.고 했을 때는 당연히 와프 단 에서는 일반
사용자 그리고 공격에 대한 일반적인 패턴을 가지고 있지 않기 때문에
트래픽을 흘려주는 거구요
하지만 디도스 공격 같은 과도한 있었으 사용 공격이 들어왔을 때 이 와프
단에서 이 공격의 패턴을 일반적인 공격이 라면은 확인을 하고 차단을 시켜
주는 역할을 할 수가 있습니다.
이거 역시도 말씀드린 것처럼 종량제 구조이기 때문에 매우 비용 효율적이고
확장성 있고 손쉽다 라고 말씀드릴 수가 있습니다.
이번 시간에는 보안을 고려한 구성에 대해서 살펴보았습니다.
첫번째로 보안을 고려하여 파는 구성 중에서 사용자 및 권한에 대한 번
aws 를 사용하는 사용자들에 대한 사용자 혹은 고난에 대한 보안에
대해서 말씀드렸는데요
i am 이라는 서비스를 통해서 aws 리소스의 권한과 정책들을 안전하고
손쉽게 관리 가능 하시구요
그리고 사용자 유저 라고 했을때 여러분들이 어플리케이션을 사용하는 유저
라고 했을 때는 콩은 이터를 통해서 사용자의 자격 증명 로그인 을 직접
여러분들이 관리 하실 수도 있구요.
아니면은 페이스북이나 구글이나 떵 가 아마존과 같은
제 곡 자격증명 제공자를 활용해서 인증을 하실수가 있습니다.
이렇게 하면 여러분들의 사용자와 권한의 보안 레벨 향상 시킬 수가
있습니다.
그리고 두번째로 어플리케이션에 대한 보안 스캐너 어플리케이션 레벨
중에서도 네트워크 관점에서 스킬이 t 그룹을 통해서 3 피그 여러분들이
직접 제어를 하시고요
그리고 제어를 하실 수 있다 보니 보안 레벨을 높일 수가 있구요.
그리고 정기적인 제 imi 에페 7을 통해서 최신 보안 정책을 유지를
한다.면은 어플리케이션의 보안을 좀 더 높게 가져 오실 수가 있습니다.
또한 인스펙터 를 통해서 실제로 취약점 분석 살 알려진 취약점 분석을
통해서 보안수준을 보다 높일 수가 있습니다.
마지막으로 네트워크 및 데이터 보안
vpc 를 통해서 가상 내 초 그의 구성 시나리오가 여러가지가 있었는데
그런 것들을 여러분들의 서비스의 맡긴 구성 하시고요
그리고 추후에 여러분들의 뭐 리소스에 대한 공격이 라던가 데이터에 대한
공격을 막기 위해서
뭐 웹방화벽 을 통해서 웹 취약점 공격 을 대비 하셔서 서비스의 보안
수준을 높일 수 있습니다.