AWS에서의 운영자 액세스

AWS Key Management Service(AWS KMS), Amazon EC2(AWS Nitro System 사용), AWS Lambda, Amazon Elastic Kubernetes Service(Amazon EKS), AWS Wickr 등 다수의 AWS 핵심 시스템과 서비스는 운영자 액세스가 필요하지 않도록 설계되었습니다. 이러한 서비스에서 AWS 운영자는 기술적으로 고객 데이터에 액세스할 수 없습니다. 대신, 시스템과 서비스는 자동화 및 보안 API를 통해 관리되며, 이 방식은 고객 데이터가 부주의로 또는 강제적으로 공개되는 것을 방지합니다.

AWS는 고객 데이터를 처리하는 시스템에 액세스할 수 있는 인력의 수를 최소화하기 위해 항상 최소 권한 모델을 사용해 왔습니다. 즉, Amazon의 모든 직원은 할당된 일 또는 직무 책임에 필요한 최소한의 시스템에만 액세스할 수 있으며 이 액세스 권한은 해당 권한이 필요한 시간으로 제한됩니다. 고객 데이터 또는 메타데이터를 저장하거나 처리하는 시스템에 대한 모든 액세스는 기록되고, 이상 징후가 있는지 모니터링되며, 감사 대상이 됩니다. AWS는 이러한 제어를 비활성화하거나 우회하는 모든 행위를 경계합니다.

최소 권한 원칙은 AWS 시스템 및 서비스의 상태에도 적용됩니다. AWS는 이 분야에서 업계 표준을 능가합니다. AWS Identity and Account Management(IAM)를 사용하면 IAM 역할에 따라 세분화된 권한을 표현할 수 있으며, 이렇게 하면 누가 무엇에 액세스할 수 있는지 면밀하게 제어할 수 있습니다. AWS는 Forward Access Session(FAS)이라고 하는 고유한 보안 계층도 추가하여 민감한 권한이 고객의 권한 부여에 따라 암호화될 수 있도록 합니다. 고객은 Amazon EC2 및 Amazon Simple Storage Service(Amazon S3)와 같은 AWS 서비스를 사용하여 데이터를 암호화할 수도 있습니다. 이렇게 하면 심지어 AWS라도 직접적인 고객의 권한 부여 없이는 고객의 암호화 키를 사용할 수 없습니다. 이는 고객이 이 작업에 대한 권한을 부여했음을 증명하는 FAS를 통해 적용됩니다. 더불어, '대리' 서비스 운영이라고 하는 이러한 작업은 AWS CloudTrail에 로깅되고 표시됩니다. 설계상 AWS 서비스에는 묵시적 권한 부여 없이 다른 서비스의 고객 리소스에 액세스할 수 있게 하는 수퍼 유저 키가 없습니다.

고객 데이터가 포함된 시스템에 대한 운영자 액세스가 모니터링되지 않는 상황을 방지하기 위해 AWS 시스템은 모든 관리 작업을 중앙에서 기록하고 모니터링하도록 설계되었습니다. 모든 운영자 작업은 세분화된 법의학적 방식으로 실제 사람이 작업을 수행하는 모습까지 자세하게 추적이 가능합니다. 익명성을 위한 공유 팀 계정은 없습니다. 액세스를 실시간으로 모니터링하여 잠재적 실수나 의심스러운 활동을 포함한 비정상적인 활동을 확인하고, 독립 AWS Security 조직뿐만 아니라 AWS 운영자의 관리자 및 경영진에게 이러한 모든 활동에 대한 주기적인 요약을 제공합니다. 이 모니터링은 다단계로 이루어지는데, 여기에는 로컬 이벤트를 호스트 외부에서 AWS 보안 팀이 운영하는 중앙 집중식 로그 집계 시스템으로 신속하게 푸시하는 호스트 기반 로깅 에이전트와 어떤 이유로든 호스트 기반 에이전트가 작동을 멈출 경우에 대비한 실시간 알림이 포함됩니다. 이는 네트워크 수준 모니터링, 배스천 서비스 모니터링, 기타 제어로 보완됩니다.

AWS 직원은 최신 보안 워크스테이션 및 FIPS 검증 하드웨어 보안 토큰을 보유하고 있고 올바르게 인증되었는지 확인하는 보안 인터페이스를 통해 모든 작업을 수행합니다. 이 인터페이스에서 AWS 운영자는 일시적인 단기 자격 증명을 받으며 모든 활동은 재정의하거나 우회할 수 없는 메커니즘을 사용하여 모니터링됩니다. 이 보안 운영자 인터페이스는 고객 데이터를 공개하지 않는 제한된 운영만 허용하며 민감한 작업에 대해서는 다자 승인을 적용합니다.

고객 데이터의 저장 또는 처리에 사용될 수 있는 내부 리소스에 액세스해야 하는 경우, 예를 들어 서비스 관련 문제를 해결해야 하는 경우, 운영자 액세스를 제한, 평가, 모니터링하는 추가 제어 계층이 추가됩니다.

고객의 지원 요청을 돕는 AWS Support 담당자는 고객 데이터에 액세스할 수 없습니다. 지원 목적으로 사용되는 모든 AWS IAM 권한은 완전히 문서화되며 각 AWS 고객이 비활성화할 수 있는 전용 역할을 통해 액세스할 수 있습니다. 이러한 전용 역할의 모든 사용은 AWS CloudTrail에도 로깅됩니다.

AWS는 네트워크 도청, 도난 또는 기타 물리적 공격의 위험을 줄이기 위해 안전한 데이터 센터를 운영합니다. 최소 권한 원칙을 사용하여 액세스 요청을 검사합니다. 이러한 요청에는 개인이 액세스해야 하는 데이터 센터 계층이 지정되어야 하며 시간이 제한됩니다. 어떤 전자 스토리지 미디어도 물리적으로 파괴하거나 NIST 800-88에 설명된 기술을 사용하여 암호로 삭제하지 않고는 AWS 데이터 센터를 벗어날 수 없습니다. AWS 서비스 및 시스템은 네트워크, 메모리, 스토리지에 대한 상시 암호화를 지원합니다. 대부분의 경우 상시 암호화 계층은 두 개 계층 이상이므로 고객 데이터 처리를 담당하는 시스템에서만 데이터에 액세스할 수 있습니다.

AWS는 조직적, 기술적 견제와 균형을 통해 보안 이벤트가 감지되지 않는 상황, 개인 또는 집단이 중요한 보안 제어를 파괴하는 상황을 방지합니다. AWS 액세스 제어 시스템과 액세스 모니터링 시스템은 의도적으로 독립되어 있으며 별도의 팀이 운영합니다.

AWS는 변경 제어, 변경 불가능한 로그 기능, 업무 분장, 다자간 승인, 조건부 권한 부여 메커니즘, 자동 운영 도구를 비롯한 심층 방어 보안 조치를 사용하여 설계되었습니다. 이러한 보안 조치는 표준 보안 관행을 뛰어넘기 때문에 AWS 운영자가 수행하는 작업은 안전하고 투명하며 로깅되고 검토됩니다.

AWS에는 리소스에 대한 액세스 권한을 할당하기 위한 권한 그룹, 권한 그룹 멤버 자격을 관리하기 위한 권한 도구, 권한이 있는 운영자가 서비스 리소스에 직접 액세스하지 않고도 시스템을 유지 관리하고 문제를 해결할 수 있는 보안 도구가 구현되어 있습니다. 직원의 직무 변경 또는 퇴사 시에는 멤버 자격도 자동으로 업데이트됩니다.