AWS - 보안 자격 증명

Cognito

애플리케이션에 대한 로그인 및 인증을 제공하는 기능

• 구글, 페이스북 등의 계정과 통합가능

 

 

 

AWS Single Sign-On

SSO(Single Sign On) 

중앙에서 관리하는 하나의 계정으로 여러 애플리케이션에 로그인하는 기능

• AWS Organization, Active Directory, SAML 2.0 지원
• SAML은 인증을 지원하기 위한 표준 데이터 포맷

 

 

KMS

암호화

데이터를 도난이나 해킹으로 보호하기 위한 방법

• 3가지 암호화 방법
• 전송중 암호화
• 네트워크로 전송하는 트래픽을 암호화
• HTTPS 프로토콜로 전송하며 네트워크에서 데이터를 가로채는 것을 보호
• 서버측 암호화
  
• 데이터 저장시 서버키를 이용해 암호화
• 클라이언트측 암호화
• 데이터를 보내기전에 클라이언트키를 이용해 암호화

 

KMS(Key Manage System)

암호화 기를 관리하는 서비스

• Key는 암호화하고 해독하는 역할
• AWS에서 암호화에 관련된 대부분의 서비스는 KMS와 관련있음
• EBS, S3, RDS 등의 데이터 암호화에 사용

 

 

 

Secrets Manager

자격증명(Secret)을 자동으로 교체하는 서비스

• 사용사례
• Lambda의 코드와 통합하여 30일, 60일 등의 자격증명 자동 교체 날짜를 지정하여 실행
• RDS등 데이터베이스 자격증명을 예약된 일정에 따라 자동으로 교체하도록 수행 

 

 

Cloud HSM

AWS에서 관리하는 소프트웨어 방식의 암호화하는 KMS와 다르게 AWS에서 제공하는 하드웨어 암호화 장비를 통한 하드웨어 방식의 암호화

• 암호화 키관리를 사용자가 해야함

 

 

 

Shield & WAF

Shield

AWS 웹 애플리케이션을 DDOS 공격으로부터 보호

• 2가지 유형을 제공
• Shiled Standard
• 모든 AWS사용자에게 적용(무료)
• SYN/UDP Flood등 기본적인 DDos공격 보호
• Shiled Advanced
  
• Shiled Standard에 비해 많은 보호를 제공(유료)

 

WAF(Web Application Firewall)

웹 어플리케이션을 보호하는 방화벽

• HTTP (OSI 7계층)에서 동작
• Application Load Balancer, API Gateway, CloudFront에서 적용가능
• WAF의 web ACL을 통해 정의할 수 있는 기능들
• 악성 IP주소 차단
• 특정 국가의 액세스 제어
• SQL Ingection, XSS(Cross-Site-Scripting) 방어
• 속도기반규칙(Rate-based rules)로 DDos 공격방어
• 특정 IP에서 비정상적인 액세스가 감지된다면 해당 클라이언트를 차단