본문 바로가기
클라우드/AWS

Security(1)

by dustnn 2024. 11. 22.

 

클라우드는 개개인의 정보가 많으므로 보안이 매우 중요하다.

 

접근권한의 형태를 주로 띤다.

 

<세 가지 주요 접근 권한>

- Read-only access

- Modify access

- Delete access

 

security 예

 

Quality control associate는 그냥 제어의 역할만 하므로 Read 이외에 불필요

하지만 Application developer은 개발을 해야 하기 때문에 Read 이외에도 Modify 권한이 필요하다.

이렇게 권한을 차등 부여해서 security를 높일 수 있다.

 

우선 user들의 역할을 정의하고 그것에 기반해 권한을 부여하면 된다.

security를 위해 디폴트로는 가장 기본적인 권한인 read 권한만을 부여(minimal permission)

 

 

Principle of Least Privilege

 

- associate가 code 추가해야 한다면 권한 업데이트 가능

- manager에게는 권한 부여 x

 

 

Identity and Access Management

 

하지만 사용자 수가 많아지게 되면 각 사용자마다 요구하는 권한이 제각각일 것이다.

이 경우 하나하나 충족시켜주려면 굉장히 비효율적이기 때문에,,

 

어떤 user가 어떤 데이터에 접근할 수 있는지 관할하는 IAM role을 사용하는 게 좋다.

 

 

Authentication

자신임을 증명하는 과정("로그인")

 

1. user가 login하면

2. database에 user id와 password가 저장되고

3. 다음번에 login할 때 입력한 정보와 database에 있는 정보를 비교

4. 일치하면 로그인됨

 

Authorization

user가 read 권한 외에 또 어떤 권한을 가질 수 있는지

일단 authentication 완료되었어도 데이터에 접근하기 위해서는 authorizion 필요

 

5. 권한 추가

 

 

Layers of Security

 

보안에서 무엇보다 중요한 것은 물리적인 data center를 보호하는 것

그 다음 data file들을 지키는 노력이 필요

 

Perimeter layer: 물리적 datacenter와 관련

 

- Security guards

- Fencing

- Security feeds

- Intrusion detection

..

 

Environment layer

 

- Mitigate environmental risks

: data center를 안전한 곳에 위치시키기(자연재해 등등..)

 

- High availability and performance

: AZ를 다양하게 => low latency, reduced costs, data compliance

 

- AWS business continuity testing

: AWS는 Business Continuity Plan을 정기적으로 검사

 

- Energy saving

: 서버 개수 77% 감소, power양 84% 감소, 28% 깨끗한 solar/wind power

 

 

Infrastructure layer: datacenter 운영과 관련

 

- Backup power equipment

- HVAC system

- fire suppression equipment

 

Data layer: 가장 중요

 

사용자 데이터를 담고 있는 유일한 layer

 

- NIST(National Institute of Standards and Technology)를 통해 storage device에서 사용자 정보가 폐기됨

- external auditor을 두어 security certification을 획득하기 위해 필요한 rule들을 확립함

- AWS server는 데이터가 없어지기 전에 사용자에게 알림. 예측 못한 상황 발생 시 server는 자동으로 비활성화됨

 

 

AWS Shared Responsibility Model

 

AWS가 관리 => 사용자의 물리적 보안 운영 부담 줄여줌

 

- data center의 물리적 보안

- hardware & software infra

- network infra

- virtualization infra

 

=> 그냥 이런 infra들 제외하고는 모두 사용자가 관리해야 한다고 보면 된다.

 

 

사용자가 관리

 

사용자 데이터는 사용자가 관리해야 한다.

 

- platform/application identity/access management

- operating systems/network/firewall configuration

- client-side data encryption

- server-side data encryption

- network traffic protection

 

 

 

'클라우드 > AWS' 카테고리의 다른 글

AWS S3(1)  (0) 2024.11.07
AWS EC2(2)  (4) 2024.11.07
AWS EC2(1)  (6) 2024.10.08
클라우드컴퓨팅이란  (3) 2024.10.04

관련글

티스토리툴바