AWS 보안 아키텍처 구축을 위한 핵심 서비스 이해

AWS는 클라우드 환경에서 보안과 자격 증명 관리를 위해 다양한 서비스를 제공합니다. 이 글에서는 IAM, KMS, WAF, Shield 등 AWS의 주요 보안 서비스를 소개하고, 이를 활용하여 안전한 클라우드 아키텍처를 설계하는 방법을 설명합니다.

 

1. AWS IAM (Identity and Access Management)

• IAM은 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 서비스입니다.
• IAM을 사용하면 사용자, 그룹, 역할, 정책을 관리하여 액세스 권한을 세밀하게 제어할 수 있습니다.

1.1. IAM 사용자

• IAM 사용자는 AWS 서비스와 리소스에 액세스하는 개인 또는 애플리케이션을 나타냅니다.
• 각 사용자에게 고유한 보안 자격 증명(액세스 키, 비밀 액세스 키, 암호)을 할당할 수 있습니다.
• 사용자는 AWS Management Console, AWS CLI, AWS SDK 등을 통해 액세스 키와 비밀 액세스 키를 사용하여 인증할 수 있습니다.
• 최소 권한 원칙에 따라 사용자에게 필요한 권한만 부여하는 것이 좋습니다.

1.2. IAM 그룹

• IAM 그룹은 IAM 사용자의 집합으로, 여러 사용자에게 동일한 권한을 일괄적으로 부여할 때 유용합니다.
• 그룹에 정책을 연결하면 해당 그룹에 속한 모든 사용자에게 정책이 적용됩니다.
• 사용자는 여러 그룹에 속할 수 있으며, 각 그룹의 권한을 상속받습니다.
• 그룹을 사용하면 사용자 권한 관리가 간소화되고, 보안 정책 변경 시 일관성을 유지할 수 있습니다.

1.3. IAM 역할

• IAM 역할은 특정 권한을 가진 IAM 자격 증명으로, AWS 서비스 간에 액세스 권한을 위임할 때 사용됩니다.
• EC2 인스턴스, Lambda 함수 등에 IAM 역할을 부여하면 해당 서비스가 다른 AWS 서비스에 액세스할 수 있습니다.
• IAM 역할을 사용하면 장기 자격 증명을 공유하지 않고도 temporary security credentials을 통해 액세스 권한을 안전하게 위임할 수 있습니다.
• 크로스 어카운트 액세스, 페더레이션 사용자 액세스 등에도 IAM 역할이 활용됩니다.

1.4. IAM 정책

• IAM 정책은 AWS 리소스에 대한 액세스 권한을 정의하는 JSON 문서입니다.
• 정책은 사용자, 그룹, 역할에 연결되어 해당 자격 증명의 권한을 결정합니다.
• AWS Managed Policies와 고객 관리형 정책(Custom Policies)을 사용할 수 있습니다.
• 정책은 Effect(허용/거부), Action(허용된 작업), Resource(액세스 가능한 리소스) 등을 명시합니다.
• 인라인 정책과 관리형 정책을 조합하여 세밀한 권한 제어가 가능합니다.

 

2. AWS KMS (Key Management Service)

• KMS는 데이터 암호화에 사용되는 암호화 키를 쉽게 생성하고 관리할 수 있는 서비스입니다.
• 대칭 키와 비대칭 키를 모두 지원하며, 고객 마스터 키(CMK)를 통해 데이터 암호화 및 복호화를 수행합니다.
• AWS 서비스(S3, EBS, RDS 등)와 통합되어 저장 데이터를 암호화할 수 있습니다.
• 키 정책과 IAM 정책을 사용하여 키에 대한 액세스를 제어할 수 있습니다.
• 예시: 민감한 데이터 암호화, 키 로테이션 자동화, 클라우드 HSM과 연계 등

 

3. AWS WAF (Web Application Firewall)

• WAF는 웹 애플리케이션을 대상으로 하는 일반적인 웹 공격을 모니터링하고 차단하는 서비스입니다.
• SQL 인젝션, 크로스 사이트 스크립팅(XSS), IP 주소 차단 등 다양한 보안 규칙을 설정할 수 있습니다.
• AWS CloudFront, Application Load Balancer와 통합하여 사용할 수 있습니다.
• AWS Managed Rules와 사용자 지정 규칙을 조합하여 유연한 보안 정책을 구성할 수 있습니다.
• 예시: 웹 애플리케이션 보안 강화, DDoS 공격 완화, 봇 트래픽 차단 등

 

4. AWS Shield

• AWS Shield는 DDoS(Distributed Denial of Service) 공격으로부터 애플리케이션을 보호하는 서비스입니다.
• Shield Standard는 모든 AWS 고객에게 무료로 제공되며, SYN/UDP 플러드, 리플렉션 공격 등 일반적인 DDoS 공격을 차단합니다.
• Shield Advanced는 추가 비용을 지불하고 사용할 수 있으며, 보다 정교한 DDoS 공격 탐지 및 완화 기능을 제공합니다.
• AWS WAF와 함께 사용하면 더욱 강력한 보안 체계를 구축할 수 있습니다.
• 예시: 대규모 트래픽 공격 방어, 애플리케이션 가용성 보장, 네트워크 계층 공격 완화 등

 

정리

AWS의 보안 및 자격 증명 관리 서비스는 클라우드 환경에서 안전하고 안정적인 아키텍처를 설계하는 데 필수적입니다. IAM을 통해 사용자, 그룹, 역할, 정책을 관리하여 리소스에 대한 액세스를 세밀하게 제어할 수 있습니다. 최소 권한 원칙을 따르고, 그룹과 역할을 활용하여 권한 관리를 간소화하는 것이 중요합니다. 또한, KMS를 활용하여 데이터를 안전하게 암호화하고, WAF와 Shield를 사용하여 웹 애플리케이션을 보호하고 DDoS 공격에 대비할 수 있습니다. AWS 보안 서비스를 효과적으로 조합하고 모범 사례를 따르면 클라우드 환경에서도 높은 수준의 보안을 유지할 수 있습니다.