Data : 2022.12.17일
Agenda
- AWS Security
- Security를 해야할 때 어떤것을 기준으로 삼으면 좋을까?
- 가장 쉬운 접근은 BP를 찾아보고 이용하는것이다. 그리고 조금 더 발전한다면 법적 요건을 먼저 찾아보고 요구사항을 먼저 준수하면서 위험평가와 타사 위험들을 참고하여 보안성을 강화하는것으로 한다.
- Security만 하는게 아니라 Security도 같이 하고, 서비스를 계획할 때 Security도 참여하는것으로 변화해야한다.
- 가장 공감이 되는 말이였다. 물론 서비스도 중요하지만, Security도 중요하다. 나중에 Security를 보완하기 위해 구성을 변경하고 서비스를 구성하는 것만큼 비효율적인게 없다고 생각한다..
- Security를 해야할 때 어떤것을 기준으로 삼으면 좋을까?
- Shard Responsibility Model
- 책임 공유 모델은 클라이언트와 벤더사가 준수해야 할 영역은 결정되어 있고, 범위는 확장되고 있다.
- 클라이언트, 벤더사 제어 가능한 영역인가에 따라서 책임 소재가 달라진다.
- 책임 공유 모델은 클라이언트와 벤더사가 준수해야 할 영역은 결정되어 있고, 범위는 확장되고 있다.
- AWS Security 5 EPICs-CAF(CAF : Cloud로 이관할때의 방법론)
- Identity and Access Management : 식별하고 인증하고 인가하는 영역
- Detective Controls : 문제가 발생할 때 문제를 해결하고 찾는 영역
- Infrastructure Security : 네트워크 영역의 보안이며, 가장 쉽게 접근할 수 있는 영역
- Data Protection : 데이터 암호화, 데이터 유/노출의 영역
- Incident Response : 사고 발생을 방지하고 조치하는 영역이며, 앞의 4가지 영역을 모두 구성되면 필요없음
여담
- Global Infrastructure는척박한 땅의 Region을 이용하는것이 비싸다. 그런 논리로 Virginia가 가장 제일 저렴하고, 남미가 가장 비싼 요금이다.
- 비용측면에서는 초기 서비스는 조금 저렴한 Region에서 서비스 파일럿을 만들고, 본래의 서비스 지역으로 이관하는것이 비용측면에서는 효율적이다.
처음으로 AWS 사무실을 방문하였다. 센터필드 건물이였는데 업무공간인것 같지는 않았고 외부 세미나? 교육을 주로 하는 곳인거 같았다.
센터필드.. 뷰가 진짜진짜 좋았다. AWS에 다니면 이런 뷰를 보면서 일할 수 있다는게 진짜 좋았다 :)
Meetup에는 약 80명정도 참석하였는데, 보안을 배우고싶은 사람/보안을 처음하는 사람/보안 시니어 등 다양한 연차의 사람들이 많았다.
그리고 Meetup을 진행하면서 다른 사람들의 의견을 들어보니 아직 내가 많이 부족하구나 느끼는점이 많았다.
금일 Meetup 내용에 대래 간략하게 말하면 WAF + GuardDuty + Automation에 많이 초점을 해서 진행을 하였다.
전체적인 흐름은 다음과 같다.
- GuardDuty에서 이벤트가 발생한다.
- 해당 이벤트를 트리거 삼아서 AWS SNS를 통해 담당자에게 알림, DynamoDB에 관련 정보를 등록한다.
- 그리고 해당 이벤트에서 식별된 악성 IP를 Lambda에서 NACL에서 DenySet에 추가한다.
- DynamoDB에는 GuardDuty 이벤트 시간을 지정하고, NACL에 정책 등록 후 일정시간 이후 해제한다. - 이벤트 내용을 분석하여 WAF IPSet에 추가한다.
- 결과적으로는 NACL에서 즉시 조치하고, WAF에서 장기적으로 IPSet을 관리한다.
위 로직의 자동화를 이전에 우아한형제들 기술 블로그에서 한번 살펴본바있다.
그때는 WAF에서 차단된 IP를 기준으로 Lambda를 통해 NACL에 일정시간 넣는 등의 자동화에 대한 소개 게시물이 있었다.
기술 블로그에서 보긴 했는데 과연 이게 효과가 있을까? 하는 의문이 많았는데 금번 교육에서도 비슷한 Hands-on을 하니 내가 모르는 뭔가의 효과가 있는거 같다.
우리 상황에 맞는지, 얼마나 효과가 있는지 조금 더 자세히 살펴보면 좋을것 같다!!
아직까지 풀리지 않는 질문
- 클라우드 보안은 무엇일까? 클라우드를 이용하는 입장에서 보안을 어떻게 강화할 수 있을까?
Meet up, Hands-on은 많이 들으면 들을 수록 다양한 사람과 다양한 연차의 사람의 의견을 들을 수 있어서 좋은것 같다.
이번에는 1회차 Hands-on는 처음이라 기본적인 내용이 주를 이뤘다. 조금씩 조금씩 더 하면서 이제 고급진? 더 많은 것을 배울 수 있을것 같아서 기대가된다!!
주말에도 공부를 위해 Meetup에 참여하는 나 자신 뿌듯하다!!!
'일상 이모저모' 카테고리의 다른 글
| [Seminar] AWS Summit 2023 Seoul 1일차 [2/2] (0) | 2023.05.06 |
|---|---|
| [Seminar] AWS Summit 2023 Seoul 1일차 [1/2] (0) | 2023.05.06 |
| SAA-C02 자격증 취득가즈아!!! (0) | 2022.06.15 |
| Security Specialty 자격증 취득 가즈아 (0) | 2022.02.10 |
| AWS DNA 탈락... (0) | 2021.09.08 |
