2015년 9월 AWS 최신 보안 뉴스

앞으로 AWS 한국 블로그 보안 카테고리를 통해 매월 AWS와 클라우드의 최신 보안 뉴스 요약 및 기술 백서 그리고 기술 문서 등을 소개하도록 하겠습니다.

MPAA Compliance Hub 사이트 개설

AWS Security Assurance에서는 연예/미디어 산업 고객들의 MPAA(Motion Picture Association of America) 컴플라이언스 관련 요청들을 충족시키기 위한 전담 웹 사이트(MPAA hub on AWS)를 소개하게 되었습니다.

본 웹 사이트에서는 관련 고객들이 최근 업데이트된 MPAA 보안 규정들을 확인하고, 새롭게 발표된 MPAA 클라우드 컴플라이언스 베스트 프랙티스를 받아 보실 수 있습니다. 또한 최신 MPAA 클라우드 컴플라이언스 가이드에 관한 자세한 내용을 담고 있는 4개의 문서들을 포함하고 있고, 이전 규정들과의 비교분석 및, 현재 제공되고 있는 AWS 컴플라이언스 기능들이 MPAA 보안 베스트 프랙티스를 어떻게 충족하는지에 대한 대략적인 소개를 살펴 보실 수 있습니다.

참고 자료:

• MPAA Content Security Best Practice
• MPAA Delta: 2015 vs. 2013

개별 관리형 정책(Managed Policies)을 통해 접근 제어하기

AWS에서는 계정 내 만들었던 IAM 엔티티들(사용자, 그룹, 역할)에게 부여할 정책(Polic) 그룹을 생성할 수 있도록 해주는 관리형 정책 (managed policies)을 올해 공개했었습니다. 그 이후, 많은 고객분들이 하나의 보편적인 정책을 적용하기 보다는 여러 정책들을 섞어서 사용하는 것을 선호하신다고 말씀해 주셨습니다.

예를 들어, 복수의 서비스에 접근을 허용할 하나의 공통 정책을 만드는 대신, 각각의 서비스마다 접근을 허용해주는 정책을 개별로 만드는 것입니다. 논리적으로 분리 정의된 정책들의 관리를 유연하게 하기 위해서, 지금은 한개의 엔티티에 최대 10개까지 관리형 정책들을 적용할 수 있습니다. 여러분들은 각각의 엔티티에 할당된 정책 목록을 봄으로써 해당 엔티티에 부여된 퍼미션들에 대해 좀더 잘 이해하실 수가 있습니다. 자세한 설명 →

Simple AD를 통해 사용자 관리하기

How to Migrate Your Microsoft Active Directory Users to Simple AD에서 AWS 디렉토리 서비스(Directory Service)를 이용하여 수 분만에 Simple AD라 불리는 가용성 높은 AWS 관리형 디렉토리 서비스를 만드는 방법을 살펴보았습니다. Simple AD를 이용하면, 단일 도메인으로 조인된(joined to a domain) 아마존 EC2인스턴스들의 로그인 계정과 그룹 멤버쉽들을 통합해서 관리할 수 있게 해줍니다.

또한 한 개의 신원확인 정보를 가지고 어플리케이션에 인증받거나, 모든 EC2인스턴스에 로그인할 수 있게 됩니다. SimpleAD에 대해 보다 자세한 내용을 알고 싶으시면 여기를 클릭하세요(What is AWS Directory Service?)

또한 Microsoft Active Directory에서 사용자 정보(Identity)를 Simple AD로 마이그레이션 하는 방법도 다뤄보았습니다. 오늘자 포스팅에서는, 리눅스와 윈도우 환경에서 그러한 사용자 정보들을 관리하는데 도움을 줄 커맨드들에 대해서도 말씀드리겠습니다. 상세 내용 →

신규 보안 백서: AWS와 CJIS 컴플라이언스

AWS는 형사 판결 정보 서비스 보안정책(Criminal Justice Information Services (CJIS) Security Policy)에 의거하여 형사판결 정보(Criminal Justice Information, CJI)를 포함하는 모든 데이터를 통제하기 좋은 환경을 제공합니다. AWS 클라우드는 CJI정보를 포함하여 광범위하게 미 연방 및 주 정부의 민감한 업무들을 처리하는데 사용되어져 왔습니다. CJI를 처리해야 하는 사법고객 혹은 파트너들은 AWS의 다음 기능들을 이용함으로써, FBI(Federal Bureau of Investigation) 정책을 준수하면서 동시에 CJI데이터에 대한 보안성과 보호수준을 획기적으로 향상시킬 수 있습니다:

• 액티비티 로깅(activity logging)과 같이 발전된 보안 서비스와 기능들(AWS CloudTrail).
• 전송중 또는 저장중인 데이터에 대한 암호화(여러분들의 암호화 키를 이용한 Amazon S3 server-side encryption).
• 광범위한 키 관리 및 보호 기능 (AWS Key Management Service 와 AWS CloudHSM).
• 통합 퍼미션 관리(IAM federated identity management 와 multi-factor authentication).

최근 발간된 백서 CJIS Compliance on AWS에서는 AWS 서비스를 통해 어떻게 CJIS 요건들을 만족시킬 수 있는지, CJIS 프레임웍 내부에서 어떤 AWS서비스들이 지원되는지, 그리고 AWS 와 CJIS 고객들 간의 책임범위에 대한 자세한 내용들을 다루고 있습니다. 상세내용 →

SAML2.0을 이용해서 Federated API/CLI 접근을 위한 솔루션 구현하기

How to Implement Federated API and CLI Access Using SAML 2.0 and ADFS 에서  ADFS(Active Directory Federation Services)와 파이썬 코드를 통해 federated API/CLI 접근 방법을 살펴보았습니다. 그 이후, SAML(Security Assertion Markup Language) 2.0을 지원하는 다른 아이덴티티 제공자(identity providers)들에도 동일한 방식으로 적용될 수 있는지에 대한 문의를 많이 받았습니다. 이에 대해 확실히 가능하다는 답변을 드릴 수 있겠습니다!

이 글에서는 이전에 했던 내용을 확장하여 입력 양식 기반 인증(form-based authentication)을 처리할 수 있도록 하면서, 거의 모든 아이덴티티 제공자(IdPs)들에 적용할 수 있는 방법을 기술하였습니다. 상세내용 →

2015 AWS PCI 컴플라이언스 패키지

새로 발표된 PCI DSS(Data Security Standard) 3.1버전에 대한 준수를 보증하는 2015 AWS PCI 컴플라이언스 패키지가 (요청 시) 제공되게 되었음을 알려드립니다. PCI DSS는 신용카드 정보의 보관과 처리를 포함한 광범위하고 민감한 업무를 지원하려는 고객들에게 글로벌하게 받아들여지는 보안 표준입니다.

이번 PCI 컴플라이언스 패키지는 AWS가 PCI DSS 버전 3.1기준의 레벨 1 서비스 제공자로서 검증 받았다는 AWS PCI 컴플라이언스 인증(AoC)을 포함합니다. 또한 200개 이상의 PCI DSS요건들 각각에 대해 고객과 AWS 각자의 공유책임을 설명하고 있는, 외부 독립 감사자에 의해 업데이트된 AWS PCI 책임 요약(Responsibility Summary)을 포함하고 있습니다. 본 문서는 1) AWS상에서 PCI 카드 홀더 환경을 효과적으로 관리하고자 하는 고객이나, 2)AWS상에서 높은 수준의 보안 환경을 구축하고 관리하고자 할때, 운영책임에 대한 보다 깊은 이해를 필요로 하는 고객들에게 도움이 될 것입니다.

Amazon Web Services 는 CloudFormation, CloudFront, Elastic Beanstalk, KMS등 현재 PCI를 준수하는 23개의 서비스를 제공중입니다. 추가적으로, AWS는 비자(Visa) 와 마스터(MasterCard)에 대한 검증된 서비스 제공자로서, 이 두 회사는 PCI DSS표준에 대한 AWS의 준수내용을 인정하였고, AWS의 개정된 AoC를 전달받았습니다.

AWS PCI 컴플라이언스 패키지를 신청하는 방법은?

2015 AWS PCI 컴플라이언스 패키지를 신청하기 위해선 AWS영업조직(AWS Sales and Business Development)을 컨택하시기 바랍니다. AWS PCI 컴플라이언스 리포트에 대해 자세히 알아보시려면 PCI DSS Level 1 Compliance FAQs 페이지를 방문하시기 바랍니다.

또한 AWS Compliance website 에서는 AWS 컴플라이언스 프로그램에 대해 좀더 자세히 알아 보실 수 있습니다.

Chad Woolf, Director, AWS Risk and Compliance

참고 자료

• PCI Compliance in the AWS Cloud
• PCI DSS Requirements for Data Encryption in Transit Using Amazon VPC
• PCI Compliance Workbook
• PCI Security Standards Council – Why Comply with PCI Security Standards?

HIPAA 백서 개정판 공개

AWS가 어떻게 HIPAA 와 HITECH 컴플라이언스 요건들을 준수하는지를 설명하는 Architecting for HIPAA Security and Compliance on Amazon Web Services 백서가 최근 업데이트 되었습니다.

헬쓰케어 기술의 성장과 발전에 따라 환자진료와 연구의 새로운 지평을 여는 클라우드 컴퓨팅의 적용이 가속화 되고 있습니다. 그러나 반면에 이러한 혁신적이고 창조적인 헬쓰케어 프로그램들은 미 연방 정보 표준 프레임웍의 기술적인 요건들을 맞추기가 어려워 질 수 있습니다.

본 백서는 AWS상에서 어떻게 HIPAA규정을 준수하는 서비스들을 이용할 수 있고, AWS상에서 데이터를 안전하게 암호화 하고 보호할 수 있는지에 대한 정보를 제공합니다. 또한 환자 의료정보(personal health information (PHI))의 암호화를 담당하는 AWS키관리(Key Management Service)를 사용하기 위한 가이드와, 감사, 백업, 재해복구에 관한 대략적인 내용들을 제공합니다.

참고 자료:

• AWS HIPAA Compliance FAQs
• AWS Compliance Website
• AWS Compliance – Latest News
• U.S. Department of Health & Human Services

Amazon VPC를 이용하여 PCI DSS의 데이터 전송중 암호화 요건을 충족시키기

데이터의 전송 중 암호화에 관한 PCI 요건은 퍼블릭 네트워크를 사용할 때와 프라이빗 네트워크을 사용할 때가 다릅니다. 논리적으로 독립된 AWS인프라로서 여러분의 기존 데이터센터 네트웍을 클라우드 상에 확장시켜주게끔 Amazon Virtual Private Cloud (Amazon VPC)가 정확하게 설계되었다면 Payment Card Industry Data Security Standards (PCI DSS)를 준수하는 사설 네트웍으로 간주될 수 있습니다.

본 포스팅에서는 Amazon VPC에 의해 제공되는 논리적인 분리의 이해에 대한 중요성과 AWS인프라 외부로 민감한 정보를 전송할때 요구되는 PCI요건에 맞추어 설계할 때 고려할 중요 포인트들을 다룹니다. 또한 추가적인 보안성을 위해 Amazon VPC에 의해 제공되는 원천적인 분리방법을 보여줍니다. 더 자세히 보기 →

9월의 AWS 보안 뉴스는 AWS코리아의 보안 분야 솔루션 아키텍트로 일하시고 있는 임기성님께서 작성해 주셨습니다.