1.2 Security in AWS Cloud

AWS 공동 책임 모델 알아보기

학습 목표

이 단원을 완료하면 다음을 수행할 수 있습니다.

• 공동 책임 모델(shared responsibility model)에서 AWS의 책임을 정의합니다.
• 공유 책임 모델(shared responsibility model)에서 책임을 정의합니다.

메모

이 모듈은 여기에 설명된 AWS 제품, 서비스 및 기능을 소유, 지원 및 유지 관리하는 Amazon Web Services(AWS)와 협력하여 제작되었습니다. 

AWS 제품, 서비스 및 기능의 사용에는 AWS가 유지 관리하는 개인 정보 보호 정책 및 서비스 계약이 적용됩니다. 

이 모듈을 완료하기 전에 AWS Cloud 를 완료했는지 확인하십시오 . 

여기에서 수행하는 작업은 그곳에서 배운 개념을 기반으로 합니다.

AWS 클라우드 모듈에서는 AWS의 고양이 사진 공유 애플리케이션에 클라우드 컴퓨팅을 사용하는 방법을 배웠습니다. 

AWS 클라우드 작업을 시작할 때 보안 및 규정 준수 관리는 AWS와 귀하의 공동 책임입니다. 

이 공유 책임을 설명하기 위해 AWS는 공유 책임 모델을 만들었습니다. 

이러한 책임 구분은 일반적으로 클라우드의 보안과 클라우드의 보안이라고 합니다.

AWS의 책임은 무엇입니까?

AWS는 클라우드 보안을 책임집니다. 즉, AWS는 AWS 클라우드에서 제공되는 모든 서비스를 실행하는 인프라를 보호하고 보호해야 합니다. 

AWS는 다음에 대한 책임이 있습니다.

• 건물의 물리적 보안에 이르기까지 AWS 지역, 가용 영역 및 데이터 센터 보호 및 보안
• 물리적 서버, 호스트 운영 체제, 가상화 계층 및 AWS 네트워킹 구성 요소와 같이 AWS 서비스를 실행하는 하드웨어, 소프트웨어 및 네트워킹 구성 요소 관리

AWS의 책임 수준은 서비스에 따라 다릅니다. 

AWS는 서비스를 세 가지 범주로 분류합니다. 

다음 표는 각각에 대한 정보와 AWS 책임을 제공합니다. 

범주범주의 AWS 서비스 예AWS 책임

Category	Examples of AWS Services in the Category	AWS Responsibility
Infrastructure services	Amazon Elastic Compute Cloud(Amazon EC2)와 같은 컴퓨팅 서비스	AWS는 기본 인프라 및 기반 서비스를 관리합니다.
Container services	Amazon Relational Database Service(Amazon RDS)와 같이 고객의 관리가 덜 필요한 서비스	AWS는 기본 인프라 및 기반 서비스, 운영 체제 및 애플리케이션 플랫폼을 관리합니다.
Abstracted services	Amazon Simple Storage Service(Amazon S3)와 같이 고객의 관리가 거의 필요하지 않은 서비스	AWS는 서버 측 암호화 및 데이터 보호는 물론 인프라 계층, 운영 체제 및 플랫폼을 운영합니다.

 

메모

컨테이너 서비스는 백그라운드에서 애플리케이션 컨테이너를 추상화하는 AWS를 나타냅니다. 

이를 통해 AWS는 해당 플랫폼을 관리하는 책임을 고객에게서 멀어지게 할 수 있습니다.

이 트레일의 뒷부분에서 이전 표에서 언급한 모든 서비스에 대해 자세히 알아봅니다.

 

고객의 책임은 무엇입니까?

클라우드의 보안을 책임집니다. 

AWS 서비스를 사용할 때 서비스와 애플리케이션을 적절하게 구성하고 데이터를 안전하게 보호할 책임이 있습니다.

 

귀하의 책임 수준은 AWS 서비스에 따라 다릅니다. 

일부 서비스에서는 필요한 모든 보안 구성 및 관리 작업을 수행해야 하는 반면, 더 추상화된 다른 서비스에서는 데이터를 관리하고 리소스에 대한 액세스를 제어하기만 하면 됩니다. AWS 서비스의 세 가지 범주를 사용하여 사용하는 각 AWS 서비스에 대한 책임 수준을 결정할 수 있습니다. 

범주AWS 책임고객 책임

Category	AWS Responsibility	Customer Responsibility
Infrastructure services	AWS는 인프라 및 기반 서비스를 관리합니다.	고객 데이터를 암호화, 보호 및 관리할 뿐만 아니라 운영 체제 및 애플리케이션 플랫폼을 제어합니다.
Container services	AWS는 인프라 및 기반 서비스, 운영 체제 및 애플리케이션 플랫폼을 관리합니다.	귀하는 고객 데이터에 대한 책임이 있으며 해당 데이터를 암호화하고 네트워크 방화벽 및 백업을 통해 데이터를 보호합니다.
Abstracted services	AWS는 서버 측 암호화 및 데이터 보호는 물론 인프라 계층, 운영 체제 및 플랫폼을 운영합니다.	귀하는 고객 데이터를 관리하고 클라이언트 측 암호화를 통해 이를 보호할 책임이 있습니다.

다양한 노력 수준으로 인해 어떤 AWS 서비스를 사용하는지 고려하고 서비스를 보호하는 데 필요한 책임 수준을 검토하는 것이 중요합니다. 또한 공유 보안 모델이 IT 환경의 보안 표준과 관련 법률 및 규정에 어떻게 부합하는지 검토하는 것도 중요합니다. 

 

귀하는 귀하의 데이터에 대한 완전한 통제를 유지하고 귀하의 콘텐츠와 관련된 보안을 관리할 책임이 있다는 점에 유의하는 것이 중요합니다. 

 

다음은 상황에 따른 책임의 몇 가지 예입니다.

• 데이터 주권 규정에 따라 AWS 리소스에 대한 지역 선택
• 암호화 및 백업 관리와 같은 데이터 보호 메커니즘 구현
• 액세스 제어를 사용하여 데이터 및 AWS 리소스에 대한 액세스 권한 제한

마무리

공유 책임 모델은 귀하와 AWS의 책임 수준을 정의합니다. 애플리케이션을 생성할 때 사용하는 AWS 서비스에 대해 어떤 보안 제어를 구현해야 하는지 알기 위해 이 모델을 이해해야 합니다. 

다음 단원에서는 AWS 계정을 만들고 AWS의 보안에 대한 몇 가지 주요 개념을 살펴봅니다.

Quiz

1. According to the shared responsibility model, which tasks are you responsible for?

A. Managing the network components that run AWS services

B. Limiting who has access to AWS resources

C. Racking and stacking physical servers in AWS data centers

D. Protecting and securing AWS Regions

 

2True or false: You maintain complete control of your data.

A.True

B.False

 

 

사용자 인증 및 권한 부여 이해

학습 목표

이 단원을 완료하면 다음을 수행할 수 있습니다.

• 새로운 신규 AWS 계정을 생성합니다.
• 인증과 권한 부여의 차이점을 설명합니다.

AWS에 익숙해지고 고양이 사진 애플리케이션을 구축하는 방법을 배우고 싶다면 계정을 만들고 무료로 사용해 볼 수 있습니다

AWS 계정 생성

AWS에서 고양이 사진 애플리케이션을 생성하려면 AWS 리소스에 액세스할 수 있어야 합니다. 

이러한 리소스에 액세스하려면 AWS 계정을 생성해야 합니다. 

계정에 등록하지 않은 경우 다음 단계에 따라 계정을 만드십시오.

1. AWS  계정 생성 페이지를 엽니다 .
2.계정 정보를 입력한 다음 계속을 클릭합니다.

  계정 정보, 특히 이메일 주소를 정확하게 입력했는지 확인하십시오.

  이메일 주소를 잘못 입력하면 계정에 액세스할 수 없습니다.
3.개인 또는 전문가를 선택합니다. 개인 계정과 전문 ​​계정은 동일한 기능과 기능을 가지고 있습니다.
4.회사 또는 개인 정보를 입력합니다.
5.AWS 고객 계약( https://aws.amazon.com/agreement )을 읽고 동의합니다 . 계약 조건을 이해했는지 확인하십시오.
6.계정 만들기 및 계속을 클릭합니다.

 

AWS 계정에 가입할 때  AWS 프리 티어 를 사용하여 AWS 서비스를 탐색 할 수 있습니다 . 

각 서비스에 대해 지정된 한도까지 AWS 서비스를 무료로 사용해 보십시오. 

일부 AWS 서비스에는 12개월 프리 티어가 있어 계정이 생성된 날로부터 1년 동안 지정된 한도까지 제품을 무료로 사용할 수 있습니다.

 

Auth의 가장 큰 특징은 무엇입니까?

계정에 대한 액세스를 구성할 때 인증과 권한 부여라는 두 가지 용어가 자주 등장합니다. 

이러한 용어가 기본적으로 보일 수 있지만 AWS에서 액세스 관리를 적절하게 구성하려면 해당 용어를 이해해야 합니다. 

이 트레일을 진행하면서 이 마음을 유지하는 것이 중요합니다. 

두 용어를 모두 정의합시다.

인증(Authentication) 이해

AWS 계정을 생성할 때 이메일 주소와 암호 조합을 사용하여 자격 증명을 확인합니다. 

사용자가 올바른 이메일과 비밀번호를 입력하면 시스템은 사용자가 입력할 수 있다고 가정하고 액세스 권한을 부여합니다. 이것은 인증 과정입니다 .

 

인증은 사용자가 자신이 누구인지 확인합니다. 

 

사용자 이름과 암호는 가장 일반적인 인증 유형이지만 토큰 기반 인증이나 지문과 같은 생체 데이터와 같은 다른 형식으로 작업할 수도 있습니다. 인증은 "당신이 말하는 당신이 누구입니까?"라는 질문에 간단히 답합니다.

권한 부여(Authorization) 이해

AWS 계정에 들어가면 어떤 조치를 취할 수 있는지 궁금할 수 있습니다. 

여기서 권한 부여 가 시작됩니다.

권한 부여는 사용자에게 AWS 리소스 및 서비스에 액세스할 수 있는 권한을 부여하는 프로세스입니다. 

권한 부여는 사용자가 리소스 읽기, 편집, 삭제 또는 생성과 같은 작업을 수행할 수 있는지 여부를 결정합니다. 

권한 부여는 "어떤 작업을 수행할 수 있습니까?"라는 질문에 답합니다.

 

인증(Authentication)과 권한 부여(Authorization)를 함께 사용

인증과 권한 부여는 함께 사용되어야 합니다. 그리고 권한 부여는 항상 인증을 따릅니다. 

행동을 수행하기 전에 자신이 누구인지 증명해야 합니다.

 

고객이 커피를 마시며 고양이를 돌볼 수 있는 고양이 카페가 있다고 가정해 보겠습니다. 

고양이 카페 뒤쪽에는 고양이들이 자고, 먹고, 물을 마시는 공간이 있습니다. 

고양이 휴게실이라고 불리는 이 공간은 카페 직원들만이 고양이에게 먹이를 주고 돌볼 수 있도록 잠긴 문으로 보호되어 있습니다.

잠긴 문은 직원을 인증하는 방법입니다.

이 문을 잠그면 올바른 키를 가진 직원이 액세스할 수 있기 때문입니다.

이 잠긴 문 뒤에는 고양이 카페 주인인 당신만 접근할 수 있는 특별한 금고가 있습니다. 

이 금고는 AWS에서 고양이 사진 애플리케이션에 사용할 사랑하는 고양이 사진을 저장하는 곳입니다. 

직원들이 고양이 급식실에 접근할 수 있는 열쇠를 가지고 있지만 금고에는 접근할 수 없습니다. 

권한 부여의 예입니다. 

직원들이 고양이방에 입장하기 위해서는 본인 확인(인증)이 필요하지만, 직원들이 특정 구역만 출입할 수 있도록 접근을 제한하고 있습니다(권한).

마무리

고양이 카페에 인증 및 권한 부여를 구현한 것처럼 AWS 시스템도 유사한 방식으로 이러한 개념을 구현합니다. 

이제 AWS 계정이 공식적으로 설정되었으므로 다음 몇 단원에서 이러한 개념이 얼마나 중요한지 알게 됩니다.

Quiz

1.True or false: After you create an AWS account, you first authenticate yourself through email and password.

A.True

B.False

2.True or false: Authorization is the process of proving your identity and authentication is the process of giving permission to perform an action.

A.True

B.False

 

AWS 루트 사용자 보호

학습 목표

이 단원을 완료하면 다음을 수행할 수 있습니다.

• AWS 루트 사용자를 설명합니다.
• AWS 계정을 생성할 때 AWS 모범 사례를 따르십시오.

이전 단원에서는 AWS 계정을 생성하고 인증과 권한 부여의 차이점을 배웠습니다. 

이 단원에서는 고양이 사진 애플리케이션을 위한 리소스를 생성하거나 추가 AWS 서비스를 사용하기 전에 수행해야 하는 첫 번째 작업에 대해 설명합니다.

AWS 루트 사용자란 무엇입니까?

AWS 계정을 처음 생성할 때 계정의 모든 AWS 서비스 및 리소스에 대한 완전한 액세스 권한이 있는 단일 로그인 자격 증명으로 시작합니다. 

이 자격 증명을 AWS 루트 사용자라고 하며 계정을 생성할 때 사용한 이메일 주소와 암호로 로그인하여 액세스합니다.

AWS 루트 사용자 자격 증명 이해

AWS 루트 사용자에게는 두 가지 자격 증명 세트가 연결되어 있습니다. 

자격 증명 세트 중 하나는 계정을 만드는 데 사용되는 이메일 주소와 암호입니다. 

이를 통해 AWS Management 콘솔에 액세스할 수 있습니다. 

두 번째 자격 증명 세트는 액세스 키라고 하며, 이를 통해 AWS 명령줄 인터페이스(AWS CLI) 또는 AWS API 에서 프로그래밍 방식으로 요청할 수 있습니다 .

 

 액세스 키는 두 부분으로 구성됩니다 :

• 액세스 키 ID(예: A2lAl5EXAMPLE)
• 보안 액세스 키(예: wJalrFE/KbEKxE)

사용자 이름과 암호 조합과 마찬가지로 AWS CLI 또는 AWS API를 통해 요청을 인증하려면 액세스 키 ID와 보안 액세스 키가 모두 필요합니다. 

 

액세스 키는 이메일 주소 및 비밀번호와 동일한 보안으로 관리되어야 합니다.

AWS 루트 사용자와 작업할 때 모범 사례 따르기

루트 사용자는 계정의 모든 AWS 서비스 및 리소스는 물론 청구 및 개인 정보에 대한 완전한 액세스 권한이 있다는 점에 유의하십시오. 

이 때문에 루트 사용자와 연결된 자격 증명을 안전하게 잠그고 일상적인 작업에 루트 사용자를 사용하지 마십시오.

 

루트 사용자의 안전을 보장하려면 :

• 루트 사용자에 대해 강력한 암호를 선택하십시오.
• 루트 사용자 암호나 액세스 키를 누구와도 공유하지 마십시오.
• 루트 사용자와 연결된 액세스 키를 비활성화하거나 삭제합니다.
• 관리 작업이나 일상적인 작업에 루트 사용자를 사용하지 마십시오.

AWS 루트 사용자는 언제 사용해도 괜찮습니까? 

AWS 루트 사용자를 사용하는 것이 합리적인 몇 가지 작업이 있습니다. 

리소스를 확인하여 이에 대해 읽어보십시오.

안전을 위해 키 삭제

AWS 계정 루트 사용자에 대한 액세스 키가 아직 없는 경우 꼭 필요한 경우가 아니면 생성하지 마십시오. 

 

AWS 계정 루트 사용자에 대한 액세스 키가 있고 키를 삭제하려는 경우:
1.  AWS Management 콘솔 의  내 보안 자격 증명 페이지 로 이동 하여 루트 사용자의 이메일 주소와 암호로 로그인합니다.
2. 액세스 키 섹션을 엽니다.
3. 작업에서 삭제 를 클릭 합니다.
4. 예 를 클릭 합니다.

마무리

AWS 루트 사용자는 강력한 도구이지만 그 범위가 멀기 때문에 악의적인 사용자의 손에 들어가면 위험할 수 있습니다. AWS 계정(그리고 결국에는 고양이 사진 애플리케이션)의 보안 악용을 방지하려면 루트 사용자를 잠그는 것이 중요합니다.

다음 단원에서는 MFA를 사용하여 AWS 루트 사용자를 더욱 안전하게 보호하는 방법을 배웁니다.

Quiz

1. Which of the following describes the level of access the root user has?

A.The root user has read access to all services and resources in your AWS account.

B.The root user has all permissions to all services and resources in your AWS account, as well as to personal and billing information.

C.The root user has no access to your AWS resources by default, but you can add permissions to it.

D.The root user has no access to your AWS resources and you cannot add permissions to it without support from.

 

2. Which of the following is a best practice when securing the AWS root user?

A.Choosing a strong password for the root user

B.Using the root user only for administrative tasks

C.Disabling or deleting the access keys associated with the root user

D.A and B

E.A and C

 

다단계 인증(Multi-Factor Authentication) 사용

학습 목표

이 단원을 완료하면 다음을 수행할 수 있습니다.

• MFA(다단계 인증)를 통해 AWS 루트 사용자를 보호하는 방법을 설명합니다.
• 루트 사용자에게 적합한 AWS 지원 MFA 디바이스를 선택하십시오.

다단계 인증의 경우

AWS 계정을 생성하고 해당 계정에 처음 로그인할 때 단일 요소 인증을 사용합니다. 

단일 요소 인증은 가장 간단하고 일반적인 인증 형식입니다. 

하나의 인증 방법만 필요합니다. 

이 경우 사용자 이름과 암호를 사용하여 AWS 루트 사용자로 인증합니다. 

다른 형태의 단일 요소 인증에는 보안 핀 또는 보안 토큰이 있습니다.

그러나 때때로 사용자의 비밀번호는 추측하기 쉽습니다. 

예를 들어, 동료 Bob의 비밀번호 IloveCats222는 Bob을 개인적으로 아는 사람이 추측하기 쉬울 수 있습니다.

기억하기 쉽고 Bob에 대한 특정 사항을 설명하는 정보의 조합이기 때문입니다(1. Bob은 고양이를 좋아하고 2. Bob's 생일은 2월 22일).

악의적인 사용자가 사회 공학, 봇 또는 스크립트를 통해 Bob의 비밀번호를 추측하거나 크랙한 경우 Bob은 계정을 제어할 수 없게 될 수 있습니다. 불행히도 이것은 모든 웹 사이트의 사용자가 자주 직면하는 일반적인 시나리오입니다.

이것이 MFA를 사용하는 것이 원치 않는 계정 액세스를 방지하는 데 매우 중요한 이유입니다. MFA에서는 세 가지 다른 범주의 정보에서 가져와 ID를 확인하기 위해 두 가지 이상의 인증 방법이 필요합니다.

• 사용자 이름 및 비밀번호 또는 핀 번호와 같이 알고 있는 정보
• 하드웨어 장치 또는 모바일 앱의 1회용 암호와 같이 보유하고 있는 것
• 지문이나 얼굴 스캐닝 기술과 같은 당신 자신의 것

이 정보의 조합을 사용하면 시스템에서 계정 액세스에 대한 계층화된 접근 방식을 제공할 수 있습니다. 첫 번째 인증 방법인 Bob의 비밀번호가 악의적인 사용자에 의해 크랙되더라도 지문과 같은 두 번째 인증 방법도 크랙될 가능성은 거의 없습니다.

이 추가 보안 계층은 가장 신성한 계정을 보호할 때 필요하므로 AWS 루트 사용자에서 MFA를 활성화하는 것이 중요합니다.

AWS에서 MFA 사용

루트 사용자에 대해 MFA를 활성화하는 경우 귀하는 귀하가 알고 있는 카테고리와 귀하가 소유한 카테고리 모두에서 식별 정보를 제시해야 합니다. 

사용자가 입력하는 식별 정보의 첫 번째 부분은 이메일과 비밀번호 조합입니다. 두 번째 정보는 MFA 장치에서 제공하는 임시 숫자 코드입니다.

MFA를 활성화하면 사용자가 일반 로그인 자격 증명 외에 지원되는 MFA 메커니즘을 사용해야 하므로 보안 계층이 추가됩니다. 루트 사용자에서 MFA를 활성화하는 것이 가장 좋습니다.

지원되는 MFA 디바이스 검토

AWS는 가상 MFA 디바이스, 하드웨어 디바이스 및 U2F(Universal 2nd Factor) 보안 키와 같은 다양한 MFA 메커니즘을 지원합니다. 각 방법을 설정하는 방법에 대한 지침은 리소스 섹션을 확인하십시오.

Virtual MFA	일회용 암호를 제공하는 전화 또는 기타 장치에서 실행되는 소프트웨어 앱입니다. 이러한 애플리케이션은 보안되지 않은 모바일 장치에서 실행될 수 있으므로 하드웨어 또는 U2F 장치와 동일한 수준의 보안을 제공하지 않을 수 있습니다.	Authy, Duo Mobile, LastPass Authenticator, Microsoft Authenticator, Google Authenticator
Hardware	1회성 6자리 숫자 코드를 생성하는 하드웨어 장치, 일반적으로 열쇠 고리 또는 디스플레이 카드 장치	Key fob, display card
U2F	컴퓨터의 USB 포트에 연결하는 하드웨어 장치	YubiKey

마무리

AWS의 모범 사례로 AWS 루트 사용자에서 MFA를 활성화하여 계정 보안을 강화해야 합니다. MFA에서는 신원을 증명하기 위해 여러 형식의 인증을 제출해야 하기 때문에 계정이 손상되거나 침해될 가능성이 적습니다.

역할, 그룹 및 IAM을 사용하여 AWS의 보안 및 권한에 대한 이해를 심화하려면 다음 모듈을 계속 진행하십시오.

 

1. What MFA device is supported by AWS?

A.U2F device

B.Hardware MFA

C.Biometric MFA

D.A and B

E.B and C

2True or false: Using a username and password, as well as a one-time passcode, to log in to an account is an example of multi-factor authentication.

A.True

B.False

Check the Quiz to Earn 100 Points

Second attempt earns 50 points. Three or more earns 25 points.