AWS에서 가장 우선순위가 높은 것이 클라우드 보안입니다. AWS 고객은 보안에 가장 보안에 민감한 조직의 요구 사항에 부합하도록 구축된 데이터 센터 및 네트워크 아키텍처의 혜택을 누릴 수 있습니다.
AWS 클라우드는 보안 환경을 유지하면서 확장 및 혁신할 수 있는 플랫폼을 제공합니다. 고객은 사용한 서비스에 대한 비용만 지불하면 됩니다. 즉 선결제 금액 없이 온프레미스 환경보다 낮은 비용으로 필요한 보안을 갖출 수 있습니다.
| 서비스 | 제품 유형 |
설명 |
|---|---|---|
| AWS Artifact | 규정 준수 보고서 | AWS Artifact 포털은 AWS의 보안 및 규정 준수 보고서에 대한 온디맨드 방식의 액세스를 제공하여 감사 아티팩트(audit artifact)라고도 알려져 있습니다. |
| AWS Certificate Manager | SSL/TLS 인증서 | AWS Certificate Manager는 SSL/TLS(Secure Sockets Layer/전송 계층 보안) 인증서를 손쉽게 프로비저닝, 관리 및 배포할 수 있게 해주는 서비스입니다. |
| Amazon Cloud Directory | 디렉터리 | Amazon Cloud Directory를 사용하면 다차원의 데이터 계층 구조를 구성할 수 있는 유연한 클라우드 네이티브 디렉터리를 구축할 수 있습니다. |
| AWS CloudHSM | 키 스토리지 및 관리 | AWS CloudHSM 서비스는 AWS 클라우드 내의 전용 HSM(Hardware Security Module) 어플라이언스를 사용하여 데이터 보안을 위한 기업, 계약 및 규제 준수 요건을 만족할 수 있도록 돕습니다. |
| Amazon Cognito | 사용자 가입 및 로그인 | Amazon Cognito를 사용하면 웹과 모바일 앱에 빠르고 손쉽게 사용자 가입/로그인 및 액세스 제어 기능을 추가할 수 있습니다. |
| AWS Directory Service | 디렉터리 | Microsoft Active Directory(Enterprise Edition)용 AWS Directory Service, 즉 AWS Microsoft AD를 사용하면 디렉터리 인식 워크로드와 AWS 리소스가 AWS 클라우드에서 관리형 Active Directory를 활용할 수 있습니다. |
| AWS Firewall Manager | WAF 관리 | AWS Firewall Manager는 계정과 애플리케이션 전체에 대한 AWS WAF 규칙을 좀 더 쉽게 중앙에서 구성 및 관리할 수 있는 보안 관리 서비스입니다. |
| Amazon GuardDuty | 위협 탐지 | Amazon GuardDuty는 관리형 위협 탐지 서비스로, 워크로드 및 AWS 계정을 보호하고 지속적으로 모니터링하기 위한 더 정확하고 쉬운 방법을 제공합니다. |
| AWS Identity and Access Management(IAM) | 액세스 제어 | AWS Identity and Access Management(IAM)를 사용하여 AWS 서비스에 대한 사용자 액세스를 제어합니다. 사용자와 그룹을 생성 및 관리하고, 액세스를 부여하거나 거부합니다. |
| Amazon Inspector |
보안 평가 | Amazon Inspector는 AWS에 배포된 애플리케이션의 보안 및 규정 준수를 개선하는 데 도움이 되는 자동 보안 평가 서비스입니다. |
| AWS Key Management Service | 키 스토리지 및 관리 | AWS Key Management Service(KMS)는 데이터 암호화에 사용되는 암호화 키를 쉽게 생성하고 제어하도록 지원하는 관리형 서비스입니다. |
| Amazon Macie | 민감한 데이터 분류 | Amazon Macie는 민감한 데이터를 검색, 분류 및 보호하는 기계 학습 기반 보안 서비스입니다. |
| AWS Organizations | 다중 계정 관리 | AWS Organizations는 여러 AWS 계정을 정책 기반으로 관리하는 기능을 제공합니다. Organizations에서는 계정 그룹을 생성한 후 해당 그룹에 정책을 연결할 수 있습니다. |
| AWS Shield | DDoS 보호 | AWS Shield는 AWS에서 실행되는 웹 애플리케이션을 보호하는 DDoS(Distributed Denial of Service) 보호 서비스입니다. |
| AWS Secrets Manager | 보안 정보 관리 |
AWS Secrets Manager를 사용하면 수명 주기에 걸쳐 데이터베이스 자격 증명, API 키 및 다른 보안 정보를 손쉽게 교체, 관리 및 검색할 수 있습니다. |
| AWS Single Sign-On | Single Sign-On(SSO) | AWS Single Sign-On(SSO)은 여러 AWS 계정과 비즈니스 애플리케이션에 대한 SSO 액세스를 손쉽게 중앙에서 관리할 수 있게 해주는 클라우드 SSO 서비스입니다. |
| AWS WAF |
웹 애플리케이션 방화벽 |
AWS WAF는 애플리케이션 가용성에 영향을 주거나, 보안을 약화하거나, 리소스를 과도하게 사용하는 일반적인 웹 도용으로부터 웹 애플리케이션을 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. |
AWS Artifact 포털은 AWS의 보안 및 규정 준수 보고서에 대한 온디맨드 방식의 액세스를 제공하여 감사 아티팩트(audit artifact)라고도 알려져 있습니다. 여기에는 예를 들어 Service Organization Control(SOC) 보고서와 Payment Card Industry(PCI) 보고서, 그리고 여러 지역의 인정 기구와 규정 준수 기관에서 AWS 보안 통제의 구현 및 운영 효율성을 입증하는 증명서가 포함되어 있습니다.
AWS Artifact에서 감사 아티팩트를 다운로드한 후 감사 기관 또는 규제 기관에게 제출하면 AWS 인프라 및 서비스의 보안과 규정 준수를 입증할 수 있습니다.
AWS Artifact 포털은 AWS Management Console에서 직접 액세스할 수 있습니다. »
AWS Certificate Manager는 AWS 서비스에 사용할 SSL/TLS(Secure Sockets Layer/전송 계층 보안) 인증서를 손쉽게 프로비저닝, 관리 및 배포할 수 있게 해주는 서비스입니다. SSL/TLS 인증서는 네트워크 통신을 보안하고 인터넷상에서 웹 사이트 자격 증명을 설정하는 데 사용됩니다. AWS Certificate Manager는 SSL/TLS 인증서를 구매, 업로드 및 갱신하는 데 드는 시간 소모적인 수동 프로세스를 대신 처리해줍니다. AWS Certificate Manager에서는 사용자가 인증서를 신속하게 요청하고, 탄력적 로드 밸런서 또는 Amazon CloudFront 배포와 같은 AWS 리소스에 배포한 후, AWS Certificate Manager가 인증서 갱신을 처리하도록 할 수 있습니다. AWS Certificate Manager를 통해 프로비저닝된 SSL/TLS 인증서는 무료입니다. 애플리케이션을 실행하기 위해 생성한 AWS 리소스에 대한 비용만 지불하면 됩니다.
Amazon Cloud Directory를 사용하면 다차원의 데이터 계층 구조를 구성할 수 있는 유연한 클라우드 네이티브 디렉터리를 구축할 수 있습니다. Cloud Directory에서는 조직도, 과정 카탈로그, 디바이스 레지스트리 등과 같은 다양한 사용 사례를 위한 디렉터리를 생성할 수 있습니다. Active Directory Lightweight Directory Services(AD LDS)와 LDAP 기반 디렉터리와 같은 기존 디렉터리 솔루션은 단일 계층 구조만 지원하지만, Cloud Directory는 다차원에 걸친 계층 구조로 이루어진 디렉터리를 생성할 수 있는 유연성을 제공합니다. 예를 들어 보고 구조, 위치 및 비용 센터에 대한 개별 계층 구조를 통해 탐색할 수 있는 조직도를 만들 수 있습니다.
Amazon Cloud Directory는 수억 개의 객체로 자동 확장되고, 여러 애플리케이션에서 공유할 수 있는 확장 가능한 스키마를 제공합니다. 완전관리형 서비스인 Cloud Directory는 인프라 확장이나 서버 관리와 같은 시간 소모적이고 많은 비용이 드는 관리 작업을 없애줍니다. 스키마를 정의하고, 디렉터리를 생성한 다음, Cloud Directory API를 호출하여 디렉터리를 채우기만 하면 됩니다.
AWS CloudHSM 서비스는 AWS 클라우드 내의 전용 HSM(Hardware Security Module) 어플라이언스를 사용하여 데이터 보안에 대한 기업의 계약 및 규제 준수 요구 사항을 충족할 수 있도록 지원합니다. CloudHSM을 사용하여 암호화 키 및 HSM이 수행하는 암호화 작업을 제어할 수 있습니다.
자세한 내용은 AWS CloudHSM 제품 페이지를 참조하십시오. »
Amazon Cognito를 사용하면 웹과 모바일 앱에 빠르고 손쉽게 사용자 가입, 로그인 및 액세스 제어 기능을 추가할 수 있습니다. Cognito에서는 수백만의 사용자로 확장할 수 있고, Facebook, Google 및 Amazon과 같은 소셜 자격 증명 공급자를 통한 로그인을 지원합니다. 또한, 사용자는 SAML 2.0을 통해 자사 엔터프라이즈 자격 증명 공급자를 사용해 로그인할 수도 있습니다.
자세한 내용은 Amazon Cognito 제품 페이지를 참조하십시오. »
Microsoft Active Directory(Enterprise Edition)용 AWS Directory Service, 즉 AWS Microsoft AD를 사용하면 디렉터리 인식 워크로드와 AWS 리소스가 AWS 클라우드에서 관리형 Active Directory를 활용할 수 있습니다. Microsoft AD 서비스는 실제 Microsoft Active Directory상에 구축되어 있으며 기존 Active Directory의 데이터를 클라우드와 동기화하거나 클라우드로 복제할 필요가 없습니다. 표준 Active Directory 관리 도구를 사용하여 Group Policy, 트러스트, SSO 등 Active Directory의 기본 기능을 활용할 수 있습니다. Microsoft AD의 경우 Amazon EC2 및 SQL Server용 Amazon RDS 인스턴스를 도메인에 손쉽게 조인하고, Active Directory 사용자 및 그룹으로 Amazon WorkSpaces와 같은 AWS 엔터프라이즈 IT 애플리케이션을 사용할 수 있습니다.
AWS Firewall Manager는 계정과 애플리케이션 전체에 대한 AWS WAF 규칙을 좀 더 쉽게 중앙에서 구성 및 관리할 수 있는 보안 관리 서비스입니다. Firewall Manager를 사용하면 AWS Organizations의 계정 전체에 걸쳐 Application Load Balancer 및 Amazon CloudFront 배포에 대해 AWS WAF 규칙을 손쉽게 적용할 수 있습니다. Firewall Manager를 사용하는 경우, 새로운 애플리케이션이 생성될 때 새로운 애플리케이션 및 리소스가 처음부터 공통 보안 규칙 세트를 준수하도록 할 수 있습니다. 이제 단일 서비스를 통해 방화벽 규칙을 수립하고, 보안 정책을 생성하고, 전체 Application Load Balancer 및 Amazon CloudFront 인프라에 걸쳐 일관되고 계층적인 방식으로 이를 적용할 수 있게 되었습니다.
Amazon GuardDuty는 관리형 위협 탐지 서비스로, 워크로드 및 AWS 계정을 보호하고 지속적으로 모니터링하기 위한 더 정확하고 쉬운 방법을 제공합니다. GuardDuty는 몇 번의 클릭만으로 여러 AWS 로그 소스 이벤트 수십억 개를 즉시 분석하기 시작합니다. GuardDuty는 악성 IP 및 도메인 목록과 같은 위협 정보 피드와 기계 학습을 사용하여 위협을 더 정확하게 탐지합니다. 예를 들어, GuardDuty는 멀웨어나 비트코인 채굴 등을 처리하는 손상된 EC2 인스턴스를 탐지합니다. GuardDuty는 웹 서버에서 알려진 애플리케이션 취약점을 탐색하거나 비정상적인 위치에서 AWS 리소스에 액세스하는 공격자를 탐지할 수 있습니다. 또한, 인증되지 않은 인프라 배포 또는 비정상적인 API 호출과 같은 손상 징후가 있는지 AWS 계정을 검사합니다. 위협이 탐지되면 GuardDuty는 단계적으로 위협을 처리할 수 있도록 상세한 보안 알림을 보냅니다. GuardDuty는 지능적인 위협 감지 및 실행 가능 알림을 제공하며 사용한 만큼 지불하는 사용이 편리한 클라우드 보안 서비스입니다.
AWS Identity and Access Management(IAM)는 AWS 클라우드 리소스를 위한 액세스 관리 서비스입니다. AWS IAM을 통해 사용자의 AWS 서비스와 리소스에 대한 액세스를 안전하게 제어할 수 있습니다. 또한, AWS 사용자 및 그룹을 만들고 관리하며 권한을 사용하여 AWS 리소스에 대한 액세스를 허용 및 거부할 수 있습니다.
자세한 내용은 AWS IAM 제품 페이지를 참조하십시오. »
Amazon Inspector는 AWS에 배포된 애플리케이션의 보안 및 규정 준수를 개선하는 데 도움이 되는 자동 보안 평가 서비스입니다. Amazon Inspector는 애플리케이션의 취약성 또는 모범 사례와 비교한 차이점을 자동으로 평가합니다. 평가를 수행한 후, Amazon Inspector는 상세한 보안 평가 결과 목록을 제공하며, 이 목록은 심각도 수준에 따라 우선순위가 지정되어 있습니다.
빠르게 시작하는 데 도움이 되도록, Amazon Inspector에는 일반적인 보안 모범 사례 및 취약성 정의와 대응되는 수백 개의 규칙이 담긴 기술 자료가 포함되어 있습니다. 내장된 규칙의 예로는 원격 루트 로그인 활성화 확인 또는 설치된 취약 소프트웨어 버전 확인 등이 있습니다. 이러한 규칙은 AWS 보안 연구원이 정기적으로 업데이트합니다.
AWS Key Management Service(KMS)는 데이터를 암호화할 때 사용하는 암호화 키를 쉽게 생성하고 제어할 수 있게 해주는 관리형 서비스로서, 하드웨어 보안 모듈(HSM)을 사용하여 키를 안전하게 보호합니다. AWS Key Management Service는 여러 다른 AWS 서비스와 통합되어 이러한 서비스로 저장하는 데이터를 보호해 줍니다. 또한, AWS Key Management Service는 AWS CloudTrail과도 통합되어 모든 키 사용에 관한 로그를 제공함으로써 각종 규제 및 규정 준수 요구사항을 충족할 수 있게 지원합니다.
Amazon Macie는 기계 학습을 사용하여 AWS에 저장된 민감한 데이터를 자동으로 검색, 분류 및 보호하는 보안 서비스입니다. Amazon Macie는 개인 식별 정보(PII) 또는 지적 재산과 같은 민감한 데이터를 인식하고, 이러한 데이터가 어떻게 액세스되고 이동되는지 파악할 수 있는 대시보드 및 알림을 제공합니다. 이 완전관리형 서비스는 비정상적인 데이터 액세스 활동을 지속적으로 모니터링하여 무단 액세스 또는 의도하지 않은 데이터 유출 위험이 감지될 경우 상세한 알림을 생성합니다. 현재 Amazon Macie는 Amazon S3에 저장된 데이터를 보호할 수 있으며, 다른 AWS 데이터 스토어에 대한 지원은 올해 하반기에 제공될 예정입니다.
자세한 내용은 Amazon Macie 제품 페이지를 참조하십시오. »
AWS Organizations는 여러 AWS 계정을 정책 기반으로 관리하는 기능을 제공합니다. Organizations에서는 계정 그룹을 생성한 후 해당 그룹에 정책을 연결할 수 있습니다. Organizations를 사용하면 사용자 지정 스크립트와 수동 프로세스 없이도 여러 계정의 정책을 중앙에서 관리할 수 있습니다.
AWS Organizations를 사용하여 여러 AWS 계정의 AWS 서비스 사용을 중앙에서 제어하는 SCP(서비스 제어 정책)를 생성할 수 있습니다. 또한, Organizations를 사용하여 API를 통해 새로운 계정 생성을 자동화할 수 있습니다. Organizations는 통합 결제를 통해 조직 내 모든 AWS 계정에 대해 단일 결제 방법을 설정함으로써 여러 계정에 대한 결제를 간소화할 수 있습니다. AWS Organizations는 모든 AWS 고객이 추가 비용 없이 사용할 수 있습니다.
AWS Secrets Manager는 애플리케이션, 서비스, IT 리소스에 대한 액세스를 보호하는 데 효과적입니다. 이 서비스를 사용하면 수명 주기에 걸쳐 데이터베이스 자격 증명, API 키 및 다른 보안 정보를 손쉽게 교체, 관리 및 검색할 수 있습니다. 사용자 및 애플리케이션에서 Secrets Manager API를 호출하여 보안 정보를 검색하므로, 민감한 정보를 평문으로 하드코딩할 필요가 없습니다. Secrets Manager는 Amazon RDS for MySQL, PostgreSQL 및 Amazon Aurora와 기본적으로 통합되어 보안 정보 교체 기능을 제공합니다. 이 서비스는 API 키, OAuth 토큰을 비롯한 다른 유형의 보안 정보로도 확대 적용할 수 있습니다. 또한, Secrets Manager를 사용하면 세분화된 권한을 사용해 보안 정보에 대한 액세스를 제어하고 AWS 클라우드, 타사 서비스 및 온프레미스에 있는 리소스의 보안 정보 교체를 중앙에서 감사할 수 있습니다.
AWS Shield는 AWS에서 실행되는 웹 애플리케이션을 보호하는 디도스(DDoS) 보호 서비스입니다. AWS Shield는 애플리케이션 가동 중지 및 지연 시간을 최소화하는 상시 탐지 및 자동 인라인 통합을 제공하므로 DDoS 보호를 위해 AWS Support를 이용할 필요가 없습니다. AWS Shield에는 두 계층이 있습니다. Standard 및 Advanced.
모든 AWS 고객은 추가 비용 없이 AWS Shield Standard에 의한 자동 보호를 받을 수 있습니다. AWS Shield Standard는 가장 일반적이고 빈번하게 발생하며 웹 사이트 또는 애플리케이션을 목표로 하는 네트워크 및 전송 계층 DDoS 공격으로부터 보호합니다.
자세한 내용은 AWS Shield 제품 페이지를 참조하십시오. »
AWS Single Sign-On(SSO)은 여러 AWS 계정과 비즈니스 애플리케이션에 대해 중앙에서 손쉽게 SSO 액세스를 관리하는 클라우드 SSO 서비스입니다. 이 서비스를 통해 사용자는 기존의 회사 자격 증명을 사용하여 사용자 포털에 로그인한 후 자신에게 할당된 모든 계정과 애플리케이션을 한곳에서 액세스할 수 있습니다. AWS SSO를 사용하면 AWS Organizations의 모든 내 계정에 대한 SSO 액세스와 사용자 권한을 중앙에서 손쉽게 관리할 수 있습니다. 또한 AWS SSO 애플리케이션 구성 마법사를 사용하여 SAML(Security Assertion Markup Language) 2.0 통합을 생성하여 SSO 액세스를 SAML 지원 애플리케이션으로 확장할 수 있습니다. AWS SSO는 또한 Salesforce, Box, Office 365 등과 같은 많은 비즈니스 애플리케이션에 대한 SAML 통합을 기본적으로 제공합니다. SSO 인프라에 대한 투자나 지속적인 유지관리 비용을 들이지 않고도 단 몇 번의 클릭만으로 가용성이 뛰어난 SSO 서비스를 사용할 수 있습니다.
AWS WAF는 애플리케이션 가용성에 영향을 주거나, 보안을 약화하거나, 리소스를 과도하게 사용하는 일반적인 웹 도용으로부터 웹 애플리케이션을 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. AWS WAF를 사용하면 사용자 정의 가능한 웹 보안 규칙을 정의함으로써 어떤 트래픽에 웹 애플리케이션에 대한 액세스를 허용하거나 차단할지 제어할 수 있습니다. AWS WAF에서는 SQL 명령어 주입이나 교차 사이트 스크립팅 등 일반적인 공격 패턴을 차단하는 사용자 지정 규칙과 특정 애플리케이션을 위해 설계된 규칙을 생성할 수 있습니다. 몇 분 이내에 새로운 규칙이 배포되므로 변화하는 트래픽 패턴에 신속하게 대응할 수 있습니다. 또한, AWS WAF에는 웹 보안 규칙의 생성, 배포 및 유지보수를 자동화하는 데 사용할 수 있는 모든 기능을 갖춘 API가 포함되어 있습니다.
자세한 내용은 AWS WAF 제품 페이지를 참조하십시오. »
모든 규모의 기업이 민첩하고 확장 가능하며 안전한 클라우드 인프라를 찾아 AWS로 워크로드를 이전하고 있습니다. 이러한 워크로드에는 고유한 보안 요건이 있는 경우가 많으며, 바로 이런 부분을 AWS 보안 파트너가 AWS 고객에게 제공합니다. AWS에서의 보안은 공동 책임이며 고객별로 각기 다르게 적용됩니다. 원하는 결과를 얻기 위해서는 파트너와 AWS가 고객과 함께 협력해야 합니다.
다음 주요 보안 파트너는 확장하는 고객의 인프라와 함께 확장되도록 설계된 AWS 전용의 자동화되고 확장 가능한 보안 솔루션을 배포하도록 도와드립니다.
