5일차 - AWS 보안, 재해복구

Well Architected

* 게임데이

- 운영에 대한 결함이 없는지 무작위로 부하를 주거나 테스트를 통해 문제점을 찾아나가는 날

운영우수성

1) 준비

- 운영 우수성을 위해 효과적인 준비가 필요

2) 운영

- 운영을하며 개선이 필요한것들을 모니터링

3) 진화

- 운영 우수성을 유지하기위해 개선이 필요한것들을 변경하여 진화

Cloud Watch

- 이것을 통해 효율적으로 바뀌었는지 리소스 사용량등의 모니터링

운영 우수성 저해   

- 자동화가 아닌 수동변경 (사람에 의해 되므로 실수가 나올 확률이 높다)

- 실패가 될수 있는것들에 대한 시뮬레이션 및 테스트를 하지 않는다

AWS X-Ray

- AWS 뒷단의 오류를 추적할 수 있다.

보안

Identity and Access

AWS Organizations

- 마스터 / 차일드 관계를 두어 과금을 취합 분할 할 수 있다

탐지제어

AWS Config 

- 인프라에 대한 모니터링을 통해 인프라가 변경이 일어났을 때 알림을 받아

  필요에 의한 변화인지 잘못된 변화인지 파악

데이터 보호    

Amazon Macie    

- 기계 학습으로 개인정보에 관한 데이터를 찾아 보호기능을 할지 

  데이터에 접근하면 누가 접근했는지

S3

- 객체에 대한 엑세스 제한 : 다른 URL을 통해 접근해오는 사용자들에대한 전송비용을 지불해야 하므로

=> 서명된 URL을 사용하도록 요구

- OAI

- 사용자를 대신해 CloudFront 원본 엑세스 ID가 S3에서 객체를 직접 가져온다

- S3에 대한 요청을 CloudFront 에 대한 인증을 가진 사용자만 요청이 가능하게 함

과정

1. 원본 엑세스 ID를 생성하고 이를 배포에 추가

2. Amazon S3 버킷 또는 버킷 내 객체에 대한 권한을 원본 엑세스 ID에만 읽기 권한을 부여

공격 보호 차단

1) DDOS

- 로드밸런서등을 이용하여 웹서버에대한 직접접근을 막는다

Amazon Inspector

- 보안 평가 서비스

- 예를 들어 원격 루트 작업을 이용하여 관리를 한 뒤 루트계정을 막지 않았을 때

  Inspector가 주기적으로 점검하여 이를 알려준다

- 보안에 취약한 소프트웨어버전을 알려준다

AWS Shield

- 종류 

1) 표준 보호(Standard)

- 무료

2) 고급 보호(Advanced)

- 추가적 보호, 기능의 이점을 제공하는 유료 서비스

- ddos 보호

- 탐지 및 모니터링

- 추가 비용 없이 waf 사용

Aamazon GuardDuty

- 지능형 위협 탐지

- 지속적 의심스러운 활동 모니터링 및 별견

- 동작 방식

KMS

- 데이터를 참조할때 사용되는 퍼블릭키를 다시 암호화한다 이 퍼블릭키를 열때에는 마스터키가 사용되며  

   KMS는 이 마스터키를 관리하는 서비스이다.

- 기존 암호화 방식인 대칭키 방식의 단점인 데이터를 읽을 때 필요한 키를 관리하기위해 계속해서 키에대한 계층구조가 발생하는 것을

 개선하기 위한 서비스 이 덕분에 2계층을 통해서 키를 관리할 수 있다.

- KMS의 마스터키가 유출되면 모든 데이터에대해 접근이 가능하므로 이 키는 절대로 AWS KMS시스템을 벗어나지 못한다.

- 대칭키 기법(퍼블릭빗 키) 를 사용하므로 성능이 향상

- 멀티테넌트 (공유)

동작 방식(대칭키)

1. 각서비스에게 데이터를 암호화 시키기 위한 1) 퍼블릭키와 2) 암호화된 퍼블릭키를 보낸다

2. 각서비스는 데이터를 암호화 하기위해 퍼블릭키를 사용하고 이 퍼블릭키를 버려버린다

   (대칭키 이므로 이 퍼블릭키로 데이터를 다시 열어 볼 수 있으므로 버려야함)

3. 이제 어플리케이션은 1) 암호화된 데이터와 2) 암호화된 퍼블릭키를 관리한다

4. 

AWS CloudHSM(Hardware Security Module)

- 대칭키와 비대칭키 서비스 모두 제공

- 싱글 테넌트

인증

AWS Directory Service

- Microsoft AD를 관리형 서비스로 제공

- Windows Server 2012 R2

AD 커넥터

- 1) VPC, VPN 연결 또는 2) AWS Driect Connect를 통해 기존 온프레미스 환경의 Microsoft AD와 연결

AWS STS(Security Token Service)

- IAM 사용자 또는 인증한 사용자에 대한 제한적 권한을 가진 임시자격증명을 요청할 수 있는 웹 서비스

1) 자격증명 브로커

1. 사용자가 브로커에 엑세스

2. 브로커가 기업의 자격증명 스토어에 사용자 인증을 요청

3. 

2) SAML 2.0 

- 브로커가 필요없이 

3) AWS 웹 자격증명 연동

재해 복구

안정성

파일럿 라이트

- 재해 복구 서비스

- 작은 불씨하나를 유지하여 빠르게 무언가를 재개 할 수 있도록 한다

- RTO를 줄일 수 있다

재해발생시

1) 복제된 핵심 데이터 셋 주위의 리소스를 자동으로 준비

2) 필요에따라 시스템을 확장

3) 새로운 시스템으로 전환과 동시에 DNS레코드를 AWS를 카리키도록 조정한다

완전 동작 저용량 스탠바이

- 서비스 중단 없이 바로 조치 가능

- 초기 서비스 로드의 일부분 처리 가능

- 모든 로드를 처리하도록 시스템 자동 확장

다중 사이트 액티브

- 온프레미스 시스템과 동시에 AWS에서 작동하는 시스템을 실행하므로써 재해복구에 대비

- 모든 프로덕션 로드를 처리 가능

- 저용량 스탠바이와 유사하나 모든 로드 처리가가능

-