Amazon Web Services 한국 블로그
2015년 11월 AWS 최신 보안 뉴스
새로운 SOC 심사 결과 발표- 신규 3개 서비스 포함
새로운 SOC(Service Organization Controls) 심사 결과를 발표하게 되어 무척 기쁩니다.
AWS SOC 프로그램은 매년 반기 별로 광범위한 감사 결과를 발표합니다. SOC 리포트(전신 SAS 70)은 2009년부터 계속되고 있으며, 해를 거듭할 수록 많은 통제 요소와 보다 많은 서비스들이 포함되고 있습니다. 제3 의 평가 기관인 Ernst & Young으로부터, AWS가 American Institute of Certified Public Accountants (AICPA)의 Security Trust Principles을 잘 준수 하고 있다는 점을 평가 받고 있습니다. AWS SOC 프로그램은 정보 보안, 기밀성, 개인정보 보호에 대한 투명한 정보를 고객들에게 계속적으로 제공할 예정입니다.
그리고 이번 결과에는 다음 3가지 AWS 서비스들이 SOC 결과 리포트에 추가되었습니다.:
-
- AWS Key Management Service (KMS)
- Amazon Simple Email Service (SES)
- Amazon WorkSpaces
결과적으로 SOC리포트에 포함된 서비스의 갯수는 26개로 증가 하였고, 또한 34개의 엣지 로케이션도 포함되었습니다.
최신 AWS SOC 1 와 SOC 2 Security & Availability 리포트는 2015년 4월 1일부터 9월 30일까지의 기간 동안하게 되며, 앞으로도 6개월의 주기로 재 심사 받을 예정입니다. 최신 SOC 1 혹은 SOC 2 리포트를 신청하려면, AWS Sales and Business Development를 연락하시기 바랍니다. 더불어, 여러분의 규제 요건에 따라 SOC 3 리포트를 AWS Compliance 웹 사이트를 통해 다운 받거나 직접 보기 하실 수 있습니다.
리포트에 관해 좀 더 질문이 있으시면 관련 FAQ사이트 를 방문해 보세요.
공개된 모든 인증 내역을 보시려면, AWS Published Certifications 참조 하시고, 최신 AWS Compliance news가 여기(AWS Compliance – Latest News)에서 보실 수 있습니다.
– Chad Woolf, Director of AWS Risk and Compliance
IAM 사용자를 위한 SMS MFA 기능 프리뷰
AWS는 새롭게 복합 인증을 지원하는 Short Message Service (SMS) 에 대한 미리보기를 발표했으며 이것은 여러분들이 보안 모범사례를 쉽게 구축하는데 도움을 줄 것입니다. 지금까지 여러분들은 하드웨어나 가상 MFA토큰방식의 서비스를 IAM 사용자에 적용하였을 것입니다. 이번 발표된 기능은 MFA 방식으로 IAM 사용자를 인증할때, 모바일 기기상에서 텍스트 메세지 기반으로 할 수 있도록 해줍니다. AWS 관리 콘솔에 로그인 할때 IAM 사용자는 모바일 기기를 통해 텍스트로 된 보안 코드를 받게 되고, 브라우져 상에 전달된 코드를 입력함으로써 본인임을 인증 받게 됩니다.
SMS MFA 는 모든 모바일 기기에서 사용하기 쉬운 텍스트 기반의 OTP기능을 제공합니다. 또한 모바일 앱을 다운로드 받을 필요가 없고 특별한 하드웨어를 필요로 하지도 않습니다. 모바일 기기 간에는 번호가 이동될 수 있기 때문에 여러분들은 모바일 기기를 교체, 업그레이드, 분실했을 경우에도, 편하게 이동하여 AWS에 대한 접근 통로를 유지할 수 있습니다. 이 기능을 이용하는데 별도의 요금은 없지만 SMS 이용 요금이 발생할 것이며 이 부분은 통신사에 따라 달라집니다.
이 기능을 이용하기 위해 여러분들은 ‘AWS account에서 미리보기 신청하기’ 과정을 해야 합니다. 미리 보기를 수락하고 1, 2일 이내에 여러분의 AWS Account에 SMS MFA기능을 활성화 할 것이라는 내용의 이메일을 받게 됩니다. 이 기능에 대한 좀 더 자세한 정보는 SMS 텍스트 메세지 MFA 이용하기에 있습니다.
새로 나온 SMS MFA에 대한 여러분들의 생각을 알고 싶습니다. 사용후 피드백을 주시거나 IAM forum 을 방문하시어 코멘트를 남겨 주시기 바랍니다.
– Vikram
IAM 콘솔 검색 기능 소개
지금까지 AWS IAM콘솔 상의 피드백 링크를 통해 여러분들의 의견을 받아 왔습니다. 지금까지 피드백 중, 빈번하게 들어오는 요청은 바로 특정 Access Key ID를 가진 IAM사용자를 찾을 수 있는 가 하는 문제였습니다. 이와 같은 기능을 구현하면서, 동시에 AWS고객들이 IAM 콘솔상에서 쉽게 뭔가를 찾을 수 있어야 한다고 생각했으며, 이에 대한 답변이 바로 IAM콘솔 검색 기능입니다.
이번 포스팅에서, IAM콘솔 검색기능을 통해, 이름, 계정정보 제공자, 타스크, 엑세스 키 등의 기준을 가지고 IAM엔티티들(사용자, 그룹, 롤 등)을 찾는 과정을 진행하게 됩니다. 상세 내용 →
AWS KMS 서비스와 EncryptionContext를 통해 암호화된 데이터를 보호하는 방법
중요한 기밀 데이터를 위한 AWS KMS의 가장 중요하고 핵심적인 개념은 EncryptionContext입니다. EncryptionContext를 제대로 잘 활용하게 되면 어플리케이션 보안을 향상시키는데 엄청난 도움이 됩니다. 이번 포스팅에서는 EncryptionContext 이 얼마나 중요한지 살펴보고, 암호화된 데이터의 무결성을 보호하기 위한 간단한 예제가 제공됩니다.
EncryptionContext는 KMS 가 암복호화 작업을 수행하는 데 제공되는 키-값 맵핑(둘다 문자열) 입니다. 암호화와 복호화 간의 맵핑은 반드시 상호 매치되어야 하며 그렇지 않다면 복호화 요청은 실패하게 됩니다.
EncryptionContext 아래의 3가지 이점을 제공합니다.:
- 부가적인 인증 데이터
- 감사 로그
- 인가 컨텍스트
IAM 정책 시뮬레이터를 통해 리소스수준의 권한 테스트 하기
여러분들은 AWS IAM의 policy simulator 를 통해 리소스 레벨의 퍼미션에 대한 테스트 및 검증하고 파악하는 것을 훨씬 더 쉽게 할 수 있게 됩니다. 이것은 리소스의 목록을 보여주고 AWS액션이 요구하는 필수 파라메터들을 자동으로 제공합니다. 이 기능을 통해 보다 정확한 조건으로 시뮬레이션하고 새로 작성한 정책이 예상대로 동작하는지 검증할 수 있게 됩니다. 현재까진 이 기능이 아마존 EC2, IAM, CloudFormation에서만 지원된 다는 것을 주목하시기 바랍니다. 계속적으로 다른 서비스 들에 대해서도 확대해 나갈 예정입니다.
IAM 정책 시뮬레이터는 두가지 UI개선 사항이 있습니다. 첫 번째는 Simulation Settings가 새롭게 Global Settings으로 변경되었습니다. Global Settings 섹션에는aws:SourceIP정책 변수와 같은 시뮬레이션 상의 모든 액션에 적용될 정보들을 입력하게 됩니다. 두번째는 Results 테이블이 Action Settings and Results 테이블에 들어왔습니다. 이 테이블에서 여러분들은 모든 필요한 리소스와 각 액션에 대한 조건 값들을 입력하게 됩니다. 이를 통해 AWS API 요청을 만들 때 같은 조건으로 시뮬레이션하게 해줍니다. 상세 내용 →
Amazon WorkDocs 보안 설정하기
Amazon WorkDocs (이전 Amazon Zocalo) 는 관리형으로 제공되는 안전한 기업 저장소이자 공유 기능을 제공하는 서비스입니다. 여러분들은 파일에 대해 코멘트를 남기고, 다른 사용자의 피드백을 요청하는 과정에서 이메일 첨부로 많은 파일들을 첨부하던 방식을 탈피할 수 있습니다. Workdocs는 암호화, 세부 공유, 접근 제어 등 다양한 보안 기능을 제공합니다. 게다가 Workdocs는 현재 ISO/IEC 27018:2014 를 준수하고 있으며 이것은 여러분들의 컨텐츠에 대한 개인 정보 보호 관련 수준에 대한 내용입니다.
본 포스팅에서는 이와 같은 WorkDocs 보안 기능들에 대해 다루게 되면 이를 통해 여러분의 WorkDocs 싸이트의 보안 수준을 어떨게 향상 시킬 수 있는지를 소개드립니다. 상세 내용 →
AWS 는 ISO 27018 개인 정보 인증 취득
본 포스팅에서는 AWS 가 성공적으로 새로운 인증 ISO/IEC 27018:2014 을 성공적으로 취득했음을 안내합니다. 이 인증은 클라우드 상에서의 개인정보(PII) 보호와 관련된 프랙티스들을 다루며, AWS가 클라우드 상에서 고객의 개인정보를 안전하게 취급할 책임을 잘 견지하고 있음을 나타냅니다. 이 개인정보 보호 관련 인증은 ISO 27001 인증 프로그램의 일부입니다.
ISO 27018 은 클라우드 상의 개인정보 보호와 관련하여 첫번째로 나온 국제 규범입니다. ISO 27018 인증 취득은 AWS가 고객의 컨텐츠에 대한 개인 정보 보호와 관련된 통제 장치를 가지고 있다는 점을 입증합니다. 상세 설명 →
AWS KMS 암호화 키의 삭제 지원
AWS 는 새롭게 KMS에서 관리되는 암호화 키의 삭제 기능을 제공합니다. 암호화 키 관련된 전체 라이프 사이클을 완성할 수 있게 되었으며, 본 포스팅에서는 새로운 기능의 소개와 함께 키를 삭제하기 전에 어떤 일을 해야 하는지, 그런 후 어떤 절차로 삭제하는 지를 보여줍니다.
암호화 키를 삭제한다는 것이 잠재적으로 위험한 행동이라는 것을 꼭 인지하기 바랍니다. 키가 없을 때 데이터 복구가 불가능 한 점 때문에, 예정된 삭제 요청 뒤에도, 즉각 삭제를 하는 것이 아니고 복호화 요구가 발생할 가능성이 있는 일정 기간의 대기 시간을 둘 수 있습니다. 7일에서 30일 간에 대기 시간을 설정할 수 있으며, 그 기간 동안 삭제 요청을 취소하고 다시 키를 복원할 수 있습니다. 상세 내용 →
AWS 와 EU 세이프 하버
최근, 유럽 연합의 대법원은 지난 15년간 유지되어온 US-EU 세이프 하버 프레임 웍과 관련, EU권역에서 미국으로 개인정보를 이전하는 것이 더이상 유효하지 않다는 판결을 내렸습니다.
고객 개인 정보의 보안을 각별히 다루고 있는 AWS에서는 이에 대한 면밀한 검토 끝에, AWS 의 고객 혹은 파트너들이 AWS상에서 자신들의 고객 개인정보를 다룰 때 EU 권역에서 미국으로 정보를 이관하는데 문제가 없으며 어떠한 부가적인 절차도 필요 없음을 확인 드리게 되었습니다. 이것은 AWS 가 EU 데이터 보안 당국(Article 29 Working Party로 알려진)과 맺었던 AWS 데이터 처리 절차 부가조항과 모델 조항에 의거하며, 미국을 포함하여 EU 바깥으로 개인정보 이관이 가능하게 됩니다. 또한 AWS 고객은 EU Data Protection Directive (Directive 95/46/EC) 조항을 완벽히 준수하는 상태로서, AWS상에서 운영 중인 글로벌 업무를 지속할 수 있습니다. 그리고 AWS의 데이터 처리 부가 조항은 고객이 EU에서 설립되었든 글로벌 회사든 간에, 개인정보를 취급하는 모든 AWS 고객에게 적용됩니다. 보다 자세한 내용은 이곳을 방문해 보세요 AWS EU Data Protection FAQ.
EU 권역 밖으로 개인정보를 이전할 필요가 없는 고객들을 위해, 지속적으로 다음과 같은 통제 및 보안 기능을 제공할 것입니다.:
- 고객들은 그들의 고객 정보에 대한 소유권을 그대로 유지하게 되며, 어떤 AWS 서비스를 통해 처리, 저장, 호스팅 되는지 선택할 수 있습니다.
- 고객들은 특별한 지역적인 요건에 맞추어 그들의 고객 정보가 어디에 저장되는지 선택할 수 있습니다.
- 고객은 그들의 고객 정보에 대한 전송 중 또는 저장 시 보안 상태에 대해 본인들의 암호화 키를 가지고 수행할 수 있도록 선택할 수 있습니다.
부가적인 정보는 여기를 방문해 보세요 AWS Privacy and Data Security FAQ.
AWS에 있어서, 고객으로부터의 신뢰는 저희의 최우선 과제이며, 고객이 계속해서 AWS의 보안, 컴플라이언스와 관련하여 이점을 누릴 수 있도록 노력해 나가고 있습니다.
– Steve
re:Invent 2015 신규 보안 서비스—Amazon Inspector, AWS WAF, and AWS Config Rules
이번 re:Invent에서, AWS 는 여러분의 보안 수준을 향상하고 AWS상에서 운영 중인 어플리케이션을 보호하기 위한 2개의 새로운 보안 서비스와 한 개의 신규 기능을 소개했습니다.
Amazon Inspector는 자동화된 보안 진단 서비스로서 AWS상에서 운영 중인 어플리케이션에 대한 보안 혹은 컴플라이언스 관점의 이슈들을 적발해 줍니다. Amazon Inspector 는 자동으로 어플리케이션의 취약점이나, 모범 사례를 기준으로 위반 사례들이 있는지 점검하게 되며, 점검 이후, 경감 조치를 위한 자세한 절차를 담고 있는 리포트를 생성해 줍니다.
빠르게 시작할 수 있도록, Amazon Inspector는 PCI DSS와 취약점 정의서 등 수 백 가지 규칙들을 담고 있는 지식 기반을 포함하고 있습니다. 예를 들자면, 리모트 루트 로그인이나, 취약한 소프트웨어 버전들 같은 것들이 포함됩니다. 이와 같은 규칙들은 정기적으로 AWS 보안 연구원들에 의해 업데이트 됩니다. 상세 설명 →
11월의 AWS 보안 뉴스는 AWS코리아의 보안 분야 솔루션 아키텍트로 일하시고 있는 임기성님께서 작성해 주셨습니다.