AWS 보안 및 암호화

KMS 

- 승인에 관해서 IAM과 통합되어 있음

-  CLOUDTRAIL을 통해, 키를 사용하기 위해 이루어진 API 호출을 감시 가능

- 1 대칭 KMS키 ; 암호화 복호화에 암호화 키가 하나만 있음 -> KMS 통합된 AWS 서비스는 대칭키 사용

- 2 비대칭 키 ; 암호화는 퍼블릭키 / 복호화는 프라이빗 키    

- 다양한 타입의 키 ; 1. AWS가 소유한 키 2. AWS 관리형 키 3. 고객관리형 키 (한달에 1달러)

- 자동 키 순환 ; AWS 관리형일 경우 자동으로 1년마다 순환 / 고객관리형 키일 경우 활성화 필요!!  

- KMS 키 범위 -> 리전!! ; 한 리전에 두 개의 KMS키가 있을 수 없다 

- KMS 키 정책 ; 키에 키 정책이 없으면 아무도 키에 접근 못한다

   1. 기본 정책 ; 기본 값 -> 게정에 있는 모든 사람이 키에 액세스 허용 

   2. 커스텀 정책 ; KMS 키 액세스할 수 있는 사용자와 역할을 정의 / 관리자를 정의 -> 교차 계정 액세스 시 유리!! 

     -> 암호화된 스냅샷을 게정 간 복사하고 싶을 때 

 

KMS MULTI REGION KEY 

- 선택된 한 리전에 기본키 ; 키 구성요소가 복제됨 (키 ID가 똑같음)

- 자동교체도 다른 리전으로 전이됨 

- 전역으로 사용은 불가능 ; 각 다중 리전키는 키 정책으로 독립적을 관리 

- 사용 예 ; 전역 클라이언트 측 암호화 / DYNAMODB 전역 테이블 / GLOBAL AURORA 암호화 

- 전역 클라이언트 암호화 시 -> 전체 테이블 뿐 아니라 속성까지 암호화 

 

S3 암호화된 복제 

- 디폴트 : 암호화되지 않은 객체 + SSE-S3로 암호화된 객체

- 고객 제공 키인 SSE-C 암호화한 객체도 복제 가능  

- SSE-KMS 암호화된 객체 -> 1. 객체 암호를 어떤 KMS 키로 할 지 지정 2. KMS 키 정책 적용 3. 암복호화 IAM 역할 생성

                                              ;; 객체마다 수많은 암호화 복호화가 발생하기 때문

- KMS 스로틀링 오류 발생 시, -> 서비스 할당량 요청 필요 !! 

- 다중 리전 키 사용은 가능 ; 독립 키로 취급 가능!!

 

암호화된 AMI 공유 프로세스 ; A계정의 AMI에서 B계정의 EC2 인스턴스 시작하는 법

-  AMI 속성에 시작권한 추가 -> B계정에서 AMI 시작 허용 

- KMS 키 공유 필요 -> IAM 역할 / IAM 사용자 생성 ;;

  (DESCRIBE KEY / REENCRYPTED API / CREATEGRANT / DECRYPT  호출에 관한 액세스 권한 필요)

 

SSM PARAMETER STORE ; 구성 및 암호 등을 포함하는 보안 스토리지 

- KMS 서비스를 이용 -> 암호 만듦

- 매개변수(파라미터) 구성 및 추적 가능 

- IAM 통해서 보안 제공 

- EVENTBRIDGE 통해서 알림 가능 / CLOUDFORMATION 통합 가능 

- 레퍼런스를 사용 > PARAMETER STORE로 SECRET MANAGER 암호에 액세스 가능

- 두 가지 매개변수 티어 ; 1. 스탠다드 2. 어드밴스드 

- 어드밴스드 전용 정책 ; TTL 할당!! > EVENTBRDIGE로 알림 제공 가능 

 

AWS SECRETS MANAGER ; ASM - 암호를 저장하는 최신 서비스 

- X일마다 강제로 암호를 교체하는 기능!!  

- 교체할 암호 강제 생성 및 자동화!! > 람다함수 정의 필요 

- AWS DB 및 서비스 + 데이터베이스와 즉시 통합 가능 

- KMS 서비스를 통해 암호화 

- 다중 리전 암호!! > 보조 리전에 동일 암호 복제화  > 문제 발생시 독립 실행형 암호 승격

 

AWS CERTIFICATE MANAGER ; ACM ; TLS 인증서 프로비저닝 관리 배포 

- 퍼블릭 및 프라이빗 TLS 인증서 지원 / 자동갱신 기능  

- GW API 또는 ELB에서 TLS 인증서를 불러올 수 있음 (단, EC2는 안됨!1)

- ACM이 60일전 자동 갱신 

- 퍼블릭 > ACM으로 가져올 수 있음 > 단 자동갱신은 불가능

- ACM > 45일 전 메일 만료 이벤트 EVENTBRDIGE / 또는 AWS CONFIG > 규칙을 통해 일수를 조정 가능 

- 엔드 포인트 유형 ; 1. 엣지 최적화 유형 - 엣지 로케싱션으로 라우팅하여 지연을 줄이는 방법 

                                 2. 리전 엔드포인트 유형 ; API GW와 같은 리전에 있을 때 쓰임 -> 자체 클라우드프론트 배포 

 

AWS WAF

- 7계층 HTTP에서 일어나는 취약점 공격으로부터 방어

- ALB / API GW / CLOUDFRONT / APPSYNC / GRAPHQL API / COGNITO 

- ACL (웹 액세스 제어 목록 )+ 규칙 정의 필요!!

- 규칙 ; IP주소 기반 필터링, HTTP 헤더, HTTP 본문, URI 문자열 조건(SQL주입, XSS)등 / IP세트를 정의 가능 

- 용량 제약 / 지역 일치 / 속도 기반 규칙 -> 디도스 방어 ETC 

- 규칙 그룹 ; 재사용 가능한 규칙 모음!! 

- 리전 단위 적용!! / 단,CLOUDFRONT는 글로벌!! 

- 고정 IP에서 WAF 적용 방법 ; ALB + GLOBAL ACCERLATOR + WAF!!

 

AWS SHIELD ; 디도스 공격 보호!! 

- 실드 탠다드 ; 무료 활성화 / SYN/UDP FLOODS, 반사공격,L3-L4 공격

- 어드밴스드 ; 정교한 디도스 공격 방어 / EC2 ELB CLOUDFRONT GLOBALACCELERATOR ROUTE53보호 

                       대응팀 24시간 대기 

                       계층 디도스 완화 제공 > WAF 규칙 자동 생성 평가 배포 

 

AWS FIREWALL ; AWS ORGANIZATION의 방화벽 규칙 관리 

- 여러 계정의 규칙 동시 관리

- 보안 정책설정; 보안 규칙 집합 ; WAF 및 SHIELD, 보안그룹, VPC 레벨의 AWS NETWORK FIREWALL, DNS FIREWALL

- 보안 정책은 리전 단위 

- 조직에서 서비스 생성 시, 자동으로 보안 정책이 적용되는 것

 

AMAZON GUARD DUTY ; 지능형 위협 탐지

- 머신러닝 알고리즘 / 서드파티 데이터 사용 탐지 

- EVENTBRDIGE 규칙을 설정 > 알림 받을 수 있음 

- 암호화폐 공격 방어에 좋음 

 

AMAZON INSPECTOR ; 몇군데서!! 자동화된 보안 평가 실시 

- 1. EC2 ; 관리자 에이전트활용 시, 보안 평가 시작 > 미의도 네트워크 접근 가능성 / OS 취약점 분석 

- 2. 컨테이너 이미지를 ECR로 푸시할 때 검사

- 3. 람다함수가 배포될 때 분석

- 작업 완료 시, AWS SECURTIY HUB에 보고 / EVENTBRIDGE로 송부 

- 취약점 DB=CVE를 위의 세개에 대해 지속 스캔 

- CVE 업데이트 될 때 다시 실행

 

AMAZON MACIE ; 데이터 보안 및 프라이버시 서비스 

- 머신러닝 + 패턴매칭 > 민감 데이터 발견 및 보호 = PII (개인정보) 경보 제공!!