AWS에서 가장 높은 우선 순위를 두는 부분은 클라우드 보안입니다. AWS 고객은 보안에 가장 보안에 민감한 조직의 요구 사항에 부합하도록 구축된 데이터 센터 및 네트워크 아키텍처의 혜택을 누릴 수 있습니다.
AWS 클라우드의 장점은 고객이 안전한 환경을 유지하면서 확장하고 혁신할 수 있다는 것입니다. 고객은 사용한 서비스에 대한 비용만 지불하면 됩니다. 즉 선결제 금액 없이 온프레미스 환경보다 낮은 비용으로 필요한 보안을 갖출 수 있습니다.
더 적은 비용으로 더 강화된 제어와 개인 정보 보호
데이터를 안전하게 유지
AWS 인프라는 고객의 개인 정보를 보호할 수 있도록 강력한 보안 조치를 적용합니다. 모든 데이터가 고도로 보안된 AWS 데이터 센터에 저장됩니다.
규정 준수 요구 사항 충족
AWS는 인프라에 있는 수십 개의 규정 준수 프로그램을 관리합니다. 즉, 사용자의 규정 준수 일부가 이미 충족되어 있습니다.
비용 절감
AWS 데이터 센터를 사용하여 비용을 절감할 수 있습니다. 자체 시설을 운영할 필요 없이 가장 높은 보안 표준을 유지할 수 있습니다.
빠르게 확장
AWS 클라우드 사용에 따라 보안이 확장됩니다. AWS 인프라는 비즈니스 규모와 관계없이 데이터를 안전하게 유지하도록 설계되었습니다.
-
인프라 보안
AWS는 개인 정보를 보호하고 네트워크 액세스를 제어할 목적으로 몇 가지 보안 기능과 서비스를 지원하고 있습니다. 여기에는 다음이 포함됩니다.
- Amazon VPC에 내장된 네트워크 방화벽과 AWS WAF의 웹 애플리케이션 방화벽 기능을 사용하면, 프라이빗 네트워크를 생성하고 인스턴스와 애플리케이션에 대한 액세스를 제어할 수 있습니다.
- 모든 서비스에서 데이터 전송 시 TLS를 사용하여 고객이 제어하는 암호화를 수행합니다.
- 자신의 사무실이나 온프레미스 환경에서 프라이빗 또는 전용 연결을 활성화할 수 있는 다양한 연결 옵션이 지원됩니다.
- AWS에서 보호하는 시설 간에 AWS 글로벌 및 리전별 네크워크에서 모든 트래픽이 자동으로 암호화됩니다.
![클라우드 인프라 보안]( "클라우드 인프라 보안")
-
DDoS 완화
가용성은 클라우드에 있어 그 무엇보다 중요합니다. AWS의 고객은 처음부터 DDoS 공격에 맞서 복원력을 제공하기 위해 구축된 AWS 서비스 및 기술의 이점을 활용할 수 있습니다.
여러 AWS 서비스를 조합하여 사용하면 심층 방어 전략을 구현하고 DDoS 공격을 차단할 수 있습니다. DDoS에 대한 자동 응답 기능을 제공하도록 설계된 서비스는 영향을 완화 및 축소하는 데 걸리는 시간을 최소화할 수 있습니다.
AutoScaling, Amazon CloudFront, Amazon Route 53 등 AWS 기술을 사용하여 DDoS 공격을 완화하는 방법에 대해 알아봅니다.
![데이터 암호화]( "데이터 암호화")
-
데이터 암호화
AWS는 클라우드에 저장되어 있는 데이터의 보안 계층을 추가 제공하여 확장 가능하고 효율적인 암호화 기능을 지원하고 있습니다. 여기에는 다음이 포함됩니다.
- AWS 스토리지 및 데이터베이스 서비스에서 사용할 수 있는 데이터 암호화 기능(EBS, S3, Glacier, Oracle RDS, SQL Server RDS, Redshift 등)
- AWS에서 암호화 키를 관리하거나 사용자가 직접 암호화 키를 모두 제어하도록 선택할 수 있는 유연한 키 관리 옵션(AWS Key Management Service 등)
- Amazon SQS에서 서버 측 암호화(SSE)를 사용하여 민감한 데이터를 전송하기 위해 메시지 대기열 암호화
- AWS CloudHSM을 사용한 하드웨어 기반 전용 암호화 키 스토리지. 이를 통해 규정 준수 요구 사항을 충족
그 밖에도 AWS는 암호화 및 데이터 보호 기능을 AWS 환경에서 개발 또는 배포하는 모든 서비스와 통합할 수 있도록 API를 제공하고 있습니다.![데이터 암호화]( "데이터 암호화")
-
인벤토리 및 구성
AWS는 고객의 클라우드 리소스가 기업 표준 및 모범 사례를 따를 수 있도록 보장하는 동시에 신속한 마이그레이션 도구를 광범위하게 지원하고 있습니다. 여기에는 다음이 포함됩니다.
- 영향을 받는 네트워크, OS 및 연결된 스토리지를 비롯하여 애플리케이션의 취약성 또는 모범 사례와 비교한 차이점을 자동으로 평가하는 보안 평가 서비스인 Amazon Inspector
- 기업 표준에 따라 AWS 리소스의 생성 및 제거를 관리할 수 있는 배포 도구
- AWS 리소스를 파악한 후 시간 경과에 따라 리소스의 변경 사항을 추적하고 관리할 수 있는 인벤토리 및 구성 관리 도구(예: AWS Config)
- 미리 구성된 표준 환경을 생성할 수 있는 템플릿 정의 및 관리 도구(예: AWS CloudFormation)
![클라우드에서의 인벤토리]( "클라우드에서의 인벤토리")
-
모니터링 및 로깅
AWS는 AWS 환경의 현재 상태를 정확히 알 수 있도록 다양한 도구와 기능을 지원하고 있습니다. 여기에는 다음이 포함됩니다.
- AWS CloudTrail을 통해 호출 주체, 대상 및 위치를 비롯한 API 호출에 대한 심층적인 가시성을 제공
- 조사 및 규정 준수 보고를 간소화할 수 있는 로그 집계 옵션
- 특정 이벤트가 발생하거나 임계값이 초과했을 때 Amazon CloudWatch를 통해 알림 전송
위에서 언급한 도구나 기능들은 비즈니스에 영향을 끼치기 전에 문제를 식별하는 데 필요한 가시성을 구현할 뿐만 아니라 현재 환경의 보안을 개선하여 리스크 프로파일을 줄이는 데도 효과적입니다.
![모니터링 및 로깅]( "모니터링 및 로깅")
-
자격 증명 및 액세스 제어
AWS는 AWS 서비스의 사용자 액세스 정책을 정의하고, 실시하고, 관리할 수 있는 기능을 지원하고 있습니다. 여기에는 다음이 포함됩니다.
- 사용자 계정별로 AWS 리소스에 대한 액세스 권한을 정의할 수 있는 AWS Identity and Access Management(IAM)
- 권한이 있는 계정에 대한 AWS Multi-Factor Authentication(하드웨어 기반 인증자에 대한 옵션 포함)
- 기업 디렉터리와 통합 및 연동하여 관리 오버헤드를 줄이고 최종 사용자 경험을 개선할 수 있는 AWS Directory Service
AWS는 대부분 서비스에서 자격 증명 및 액세스 관리 통합 기능을 기본적으로 지원하고 있지만 여기에 더하여 사용자 고유의 애플리케이션 또는 서비스까지 통합할 수 있는 API도 제공하고 있습니다.
![클라우드에서의 인벤토리]( "클라우드에서의 인벤토리")
-
침입 테스트
리전 간 복제로 연속성 향상
가용 영역을 사용하여 같은 리전 내의 여러 데이터 센터에 애플리케이션과 데이터를 복제하는 것과 더불어, 지리적 리전 간에 데이터를 복제함으로써 중복성과 내결함성도 향상할 수 있습니다.
규정 준수 및 데이터 상주 요구 사항 충족
데이터가 물리적으로 위치한 리전에 대해 고객이 모든 제어권 및 소유권을 유지하므로 손쉽게 현지 규정 및 데이터 레지던시 요구 사항을 충족할 수 있습니다.
글로벌 네트워크에서 암호화를 통해 데이터 보호
데이터 센터 및 리전을 상호 연결하는 AWS 글로벌 네트워크를 통해 이동하는 모든 데이터는 보안 시설을 떠나기 전에 물리적 계층에서 자동으로 암호화됩니다. 예를 들어 모든 VPC 교차 리전 피어링 트래픽, 고객 또는 서비스 간 TLS 연결 등 추가적인 암호화 계층도 존재합니다.
APN 파트너는 온프레미스 환경의 기존 제어 항목에 상응하거나, 일치하거나, 통합되는 수백 가지의 업계 최고 제품을 제공합니다. 이러한 제품은 기존의 AWS 서비스를 보완하여 클라우드 및 온프레미스 환경 전체에 걸쳐 포괄적인 보안 아키텍처와 더욱 원활한 환경을 배포할 수 있도록 지원합니다.
높은 표준의 데이터 프라이버시
Amazon은 개인 정보 및 데이터 보안에 대해 고객이 얼마나 중요하게 생각하는지 잘 알고 있기 때문에 이러한 문제에 대해 고객이 올바로 이해할 수 있도록 최적의 노력을 기울이고 있습니다.
