3. 인프라 보호

[격리를 통한 보호]

인프라를 보호하면 의도하지 않은 무단 액세스 및 기타 잠재적 취약성으로부터 워크로드 내의 시스템 및 리소스가 보호됩니다. Amazon Virtual Private Cloud(Amazon VPC)를 사용하면 클라우드에서 AWS 리소스를 격리할 수 있습니다.

리소스에 대한 심층 방어 접근 방식을 제공하는 가장 일반적인 VPN 기능은 다음과 같습니다.

 

1) 서브넷 라우팅

 - 서브넷을 사용하면 보안 및 운영상의 필요에 따라 인스턴스와 AWS 리소스를 그룹화할 수 있습니다. 서브넷을 사용하여 네트워크에 대한 라우팅을 구성할 수도 있으며, 라우팅을 사용하면 리소스의 대상과 인터넷을 통해 접속할 수 있는지 여부를 지정할 수 있습니다.

 

2) 네트워크 ACL

 - VPC 내에서 보안 계층을 추가하기 위해 네트워크 ACL을 구성할 수 있습니다. 네트워크 ACL은 서브넷 수준에서 트래픽을 제어하기 위한 방화벽 역할을 하는 VPC를 위한 선택적 보안 계층입니다. 기본적으로는 인바운드 아웃바운드 IP트래픽을 허용하며, 트래픽을 제어하려면 특정 IP 주소, 프로토콜 및 포트에 대한 ALLOW 및 DENY 규칙을 추가해야 합니다.

 

3) 보안 그룹

 - 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽 역할을 합니다. VPC에서 인스턴스를 시작할 경우 인스턴스의 보안 그룹을 지정해야 합니다. 

---

[애플리케이션 및 OS 보안]

인프라 보안에는 네트워크를 보호하고 모든 서버를 강화하며 적절한 패치를 적용하는 작업이 포함됩니다. AWS System Manager는 정의된 구성 정책을 준수할 수 있도록 유지하는 데 효과적입니다. 기능은 다음과 같습니다.

 

1) 자동화

 - 전체 AWS 리소스에서 공통적이고 반복적인 IT 운영 및 관리 작업을 안전하게 장동화합니다.

 

2) 인벤토리

 - 인스턴스와 인스턴스에 설치된 소프트웨어에 대한 정보를 수집하여 시스템 구성과 설치된 애플리케이션에 대한 이해를 돕습니다. 애플리케이션, 파일, 네트워크 구성, 업데이트 및 기타 시스템 속성에 대한 데이터가 수집됩니다.

 

3) 패치 관리자

 - 대규모 Amazon EC2 인스턴스 그룹 또는 온프레미스 인스턴스 그룹에 소프트웨어 패치를 자동으로 배포합니다.

 

4) 파라미터 스토어

 - 데이터베이스 문자열과 같은 일반 텍스트 데이터 또는 암호와 같은 보안 암호 형식의 구성 데이터를 관리할 수 있는 중아 스토어를 제공합니다. 이 중앙 스토어를 사용하면 보안 암호 및 구성 데이터를 코드에서 분리할 수 있습니다.

 

5) 실행 명령

 - 서버에 로그인하지 않고 인스턴스를 대규모로 원격 관리합니다. 레지스트리 편집, 사용자 관리, 소프트웨어 및 패치 설치와 같은 일반적인 관리 작업을 인스턴스 그룹 전체에서 자동화하는 간단한 방법을 제공합니다.

 

6) 세션 관리자

 - 인바운드 포트를 열거나 SSH 키를 관리하거나 배스천 호스트를 사용할 필요 없이 브라우저 기반 대화형 쉘 또는 CLI를 통해 Windows 및 Linux EC2 인스턴스를 관리할 수 있습니다.

---

[Amazon Inspector]

AWS에서 배포된 애플리케이션의 보안과 규정 준수를 개선하는 데 도움이 되는 자동화된 보안 평가 서비스입니다.

Inspector는 애플리케이션의 취약성 또는 모범 사례 위반을 평가합니다. Amazon Inspector는 평가를 수행한 후 심각도 수준에 따라 우선 순위가 지정된 상세한 보안 평가 결과 목록을 제공합니다.