Amazon Web Services 한국 블로그
2015년 10월 AWS 최신 보안 뉴스
re:Invent 보안 및 규정 준수 세션 동영상 공개
지난 10월 6일-9일간 라스베가스에서 열린 AWS re:Invent 2015에서는 Security & Compliance 트랙의 다양한 세션이 발표 되었습니다. 모든 세션은 동영상으로 제공하고 있으니 참고하시기 바랍니다.
특정EC2 인스턴스에 대한 접근을 단일 VPC안으로 제한하기
고객들이 클라우드 기술 지원 엔지니어에게 종종 다음과 같은 질문을 합니다. “어떻게 하면 사용자의 EC2인스턴스 접근 범위를 단일 VPC 내로 제한할 수 있나요?” 본 포스팅에서는 해당 질문에 대해 AWS IAM 정책과 Role을 이용하여 접근 레벨을 제한하는 방식을 통해 해답을 제시합니다.
EC2 상에서, 사용자의 인스턴스 접근을 단일 VPC로 제한하기 위해서는 아래와 같은 2개의 질문들을 고려해야만 합니다.
- 어떤 API 액션들이 Amazon Resource Names (ARNs) 과 조건들을 지원하는가?
- 어떤 API 액션들이 ARNs과 조건들을 지원하지 않는가?
리소스 레벨의 퍼미션을 같는 API 액션은 IAM정책의 Resource 엘리먼트 내 ARN에 대한 지원을 갖습니다. 다음 링크에서 EC2 리소스 레벨 퍼미션에 대한 기본 정보를 확인할 수 있습니다(Demystifying EC2 Resource-Level Permissions). 또한 Supported Resource-Level Permissions for Amazon EC2 API Actions 문서에서는 ARN을 지원하는 EC2액션의 전체 목록이 있습니다. 그 목록에서는 어떤 조건이 어떤 ARN에 적용될 수 있는지도 보여줍니다.
신규 출시: AWS 보안 교육 클래스
보안과 관련된 새로운 AWS 교육 커리큘럼을 시작합니다. 보다 안전한 AWS 아키텍쳐를 만들고 주요 컴플라이언스 요건들을 충족 시킬 수 있는 방법들을 제시하면서, AWS 공유 책임 모델 상에서 여러분들의 클라우드 보안 목표를 달성할 수 있도록 디자인 된 2개의 교육 과정이 제공됩니다.
신규 클래스에 대한 좀 더 자세한 내용은 아래와 같습니다.:
- AWS Security Fundamentals: 3시간짜리 무료 온라인 클래스로서 기본적인 클라우드 컴퓨팅 소개와 AWS 접근제어, 거버넌스, 로깅, 암호화 방법 을 포함하여 AWS의 보안 개념을 소개합니다. 본 교육과정은 AWS를 전혀 접해보지 못했거나 조금 경험 해보신 보안 담당자들을 주요 대상으로 하며 보안과 관련된 컴플라이언스 규정들, 리스크 관리 전략, AWS보안 인프라를 감사하는 절차 등을 교육합니다.
- Security Operations on AWS: 3일동안 교육장에서 시행되는 본 교육은 AWS서비스의 보안 기능들과 데이터나 시스템들을 안전하게 관리하기 위한 베스트 프랙티스들을 자세하게 다룹니다. 여러분들은 규제나 컴플라이언스 기준들과 AWS 상의 워크로드 감사에 대한 실 사례들에 대해 배우게 되실 것입니다. AWS보안 제품과 기능들을 통해 다음단계로 보안 운영 레벨을 높이는데 도움을 줄 핸즈 온 연습과정도 포함됩니다.
본 교육 과정에 대해 좀 더 자세히 아시려면 AWS Training를 방문해 보세요. 여기(find a class )에서 교육 과정에 대한 상세 내용을 찾아 보실 수 있습니다.
빠르게 보안 베스트 프랙티스 준수하기 위한 두 가지 팁
보안 전문가에게는 베스트 프랙티스을 잘 준수하고 있는 지를 확인하는 것이 주요 임무입니다. 베스트 프랙티스를 준수하는 일은 단순하고 지루한 수작업을 통해 많은 시간이 필요하게 됩니다. 본 글에서는 과도한 시간 소비를 줄이면서 보안 베스트 프랙티스들을 AWS서비스들을 통해 어떻게 구현할 수 있는지에 대한 2개의 예제를 보여줍니다.
AWS Identity and Access Management (IAM) 베스트 프랙티스는 엑세스 키를 주기적으로 교체하거나 삭제하는 것과 관련됩니다. 그러나 어떤 엑세스 키가 사용되었는 지를 찾는 다는 것은 보통 AWS Cloud Trail 로그를 면밀하게 뒤져본다는 뜻입니다.
지난 5월 30일자 웨비나 (webinar)에서 소개되었던, 최근 사용된 엑세스키 기능(access key last used)을 이용하면 키 교체 작업을 좀더 쉽게 할 수 있습니다. 마지막으로 사용된 일자와 IP주소를 알게 되면, 어떤 키가 어디에 사용되었는지 좀더 쉽게 파악할 수 있습니다. 여러분들은 또한 엑세스 키가 오랫동안 사용된 적이 없는 것도 파악 할 수 있습니다; 삭제되었거나 오래된 사용하지 않는 엑세스 키들을 잘 관리할 수 있는 좋은 보안 태도를 유지하는데 도움을 줍니다.
민감한 S3버킷에 대한 접근 허용 Whitelist 정책 만들기
Amazon S3 버킷에 대한 안전한 접근을 위해 AWS는 다양한 옵션들을 제공합니다. 여러분들은 access control lists (ACLs), AWS Identity and Access Management (IAM) 사용자 정책이나 S3 엑세스 정책 등을 이용할 수 있습니다. S3엑세스 정책 내에서도 몇가지 옵션들을 선택할 수 있습니다. 여러분들은 Principal 엘리먼트 를 활용하여, 디폴트 정책이 Deny인 AWS Account목록에 대한 접근을 허용할 수도 있습니다. 또한 Principal 엘리먼트의 형제 요소인 NotPrincipal 엘리먼트를 가지고, 명시적으로 몇몇 지정된 사용자 외 어느 누구도 특정 리소스에 접근할 수 없도록 할 수 있습니다.
본 글에서는 어떻게 NotPrincipal엘리먼트를 통해 이런 민감한 S3버킷에 대한 엑세스 정책을 만들 수 있는지 보여드립니다.
접근 제어 정책을 테스트를 위한 신규 API 소개
AWS Identity and Access Management (IAM)은 여러분들이 IAM사용자, 그룹, 그리고 역할에 대한 퍼미션을 검증하고 감사하기 위한 신규 API을 발표했습니다. 이와 같은 2가지 API를 CLI나 SDK 형태의 IAM policy simulator를 활용할 수 있습니다.
새로운 iam:SimulatePrincipalPolicy API 를 가지고, 프로그램적으로 IAM정책이 의도된 대로 동작하는지, 특정 리소스 나 액션 별로 테스트할 수 있습니다. 신규 작성된 정책이나 갱신된 기존 정책을 iam:SimulateCustomPolicy API 를 호출하여 테스트 할 수 도 있습니다.
본 포스팅에서는 iam:SimulatePrincipalPolicy API를 사용하여 특정 사용자의 퍼미션을 검증합니다. 이 API는 목적하는 시뮬레이션의 타입에 대응하는 정책들을 포함하는 몇가지 파라메터들을 갖습니다.
9월의 AWS 보안 뉴스는 AWS코리아의 보안 분야 솔루션 아키텍트로 일하시고 있는 임기성님께서 작성해 주셨습니다.