AWS SA 준비(애플리케이션 및 보안)

Written by 한성빈 on
AWS SA 준비(애플리케이션 및 보안)

AWS SA 준비 (보안, 애플리케이션 통합 서비스, 분석)

Security, 애플리케이션 통합 서비스, 분석

Security

  • IAM – IAM을 사용하면 AWS 리소스에 대한 개별 액세스 및 그룹 액세스를 안전하게 제어할 수 있다. 사용자 자격 증명을 생성 및 관리하고, 이러한 IAM 사용자에게 리소스에 액세스할 수 있는 권한을 부여할 수 있다. AWS 외부의 사용자에게 권한을 부여할 수도 있다.
  • Amazon Cloud Directory – 이미 Cognito 및 Organizations를 비롯한 다른 AWS 서비스에서 사용하고 있던 빌딩 블록, AWS에서도 매우 중요한 역할을 하고 있기 때문에 확장성, 고가용성 및 보안을 염두에 두고 설계 (항상 데이터는 전송되는 동안 암호화)

즉, 사용자, 그룹, 위치, 디바이스, 정책 이러한 항목 간의 풍부한 관계 등 모든 애플리케이션 리소스를 손쉽게 구성화고 관리할 수 있게 해주는 웹 기간 디렉터리를 제공 (디렉터리 기반 솔루션 생성)

  • Cognito – 사용하면 모바일과 웹 앱에 사용자 가입 및 인증 기능을 손쉽게 추가할 수 있다. (저번에 OpenID연동 쉽게 사용), 외부 자격 증명 공급자를 통해 사용자를 인증할 수 있게 지원하며, 앱의 백엔드 리소스 또는 API Gateway 뒤에 있는 모든 서비스에 액세스할 수 있는 임시 보안 자격증명을 제공 (Facebook, Twitter, Amazon, google 등 연동 가능)
  • GuardDuty – AWS 계정, 워크로드, S3에 저장된 데이터를 지속적으로 모니터링하고 보호할 수 있는 위협 탐지 서비스를 제공 (CloudTrail 이벤트, CPC 흐름 로그 및 DNS 로그에 있는 계정 및 네트워크 활동에서 생성된 메타데이터 스트림을 분석, 알려진 악의적 IP 주소, 이상 항목 탐지, 기계 학습과 같은 통합 위협 인텔리전스를 사용해 위협을 좀 더 정확하게 식별)
  • Inspector – EC2의 네트워크 접근성 및 해당 인스턴스에서 실행되는 애플리케이션의 보안 상태를 테스트하는 데 도움이 되는 자동화된 보안 평가 서비스 (사용하면 개발 및 배포 파이프라인 전체에서 또는 정적 프로덕션 시스템에 대해 보안 취약성 평가를 자동화할 수 있다.)
  • Macie – 완전관리형 데이터 보안 및 데이터 프라이버시 서비스로, 기계 학습 및 패턴 일치를 활용하여 AWS에서 민감한 데이터를 검색하고 보호 (기계 학습 및 패턴 일치를 사용하여 대규모의 민감한 데이터를 비용 효율적으로 검색, S3에 저장된 데이터 보안)
  • ACM – AWS Certificate Manager 약자로 AWS 서비스 및 연결된 내부 리소스에 사용할 공인 및 사설 SSL/TLS(전송 계층 보안)인증서를 손쉽게 프로비저닝, 관리 및 배포할 수 있도록 지원하는 서비스 (ACM 통합 서비스 ELB, CloudFront, API Gateway 등) 에만 전용으로 사용되는 공인 및 사설 SSL/TSL 인증서는 무료)
  • CloudHSM – AWS 클라우드 내에서 전용 HSM(Hardware Security Module) 인스턴스를 사용함으로써 데이터 보안에 대한 기업, 계약 및 규제 준수 요구 사항을 충족하는 데 도움이 된다.
  • HSM – 하드웨어 보안 모듈 명칭이며 변조 방지 하드웨어 디바이스 내에서 안전한 키 스토리지와 암호화 작업을 제공 (HSM은 암호화 키 자료를 안전하게 저장하고 해당 키 자료를 하드웨어의 암호화 경계 외부에 노출하지 않고 사용하도록 설계)
  • Secrets Manager – 애플리케이션, 서비스 및 IT 리소스에 대한 액세스를 보호하는 데 도움이 되는 보안 정보 관리 서비스 (수명 주기 동안 데이터베이스 자격 증명, API 키 및 기타 보안 정보를 손쉽게 교체, 관리 및 검색할 수 있다.)
  • Directory Service – 사용자, 그룹, 컴퓨터, 기타 리소스 등 조직에 관한 정보가 포함된 디렉터리를 제공하는 관리형 서비스 오퍼링 (AWS 클라우드에서 디텍터리를 설정 및 실행하거나 AWS 리소스를 기존 온프레미스에 연결할 수 있다.)
  • KMS – Key Management Service는 암호화 작업에 사용되는 키를 쉽게 생성하고 제어할 수 있도록 지원하는 관리형 서비스 (고가용성 키 생성, 스토리지, 관리 및 감사 솔루션을 제공하므로, 이를 통해 자체 애플리케이션 내 데이터를 암호화 또는 디지털 방식으로 서명하거나, AWS 서비스 전체에서 데이터의 암호화를 제어) 즉 이것을 사용하면 데이터에 대한 액세스를 제어하는 암호화 키를 중앙에서 관리할 수 있다.
  • Organizations – AWS의 워크로드가 확장됨에 따라 환경을 중앙에서 관리하는데 도움이 되는 서비스 (시작하는 스타트업이든, 대기업이든 관계없이, Organizations를 활용하면 새 계정을 생성하고 리소스를 할당하고, 모든 계정에 대해 단일 결제 방법을 설정하여 결제 과정을 간소화하고, 그룹을 생성하여 워크플로를 구성하며 거버넌스를 위해 이러한 그룹에 정책을 적용할 수 있다.)
  • SSO- Single Sign-ON 약자로 AWS 계정 및 비즈니스 애플리케이션 대한 액세스를 중앙에서 손쉽게 관리하고 사용자에 SSO 액세스를 제공하여 할당된 모든 계정 및 애플리케이션을 한곳에서 액세스하도록 할 수 있는 서비스 (SSO를 사용하면 Organizations의 모든 내 계정에 대한 SSO 액세스와 사용자 권한을 중앙에서 손쉽게 관리) 즉. 간단히 말하면 로그인 한 번으로 각 애플리케이션 로그인을 할 수 있다. 왜냐하면 로그인/인증 부분만 떼어서 한 군데로 모아두는 방식이기 때문에
  • Shield – AWS에서 실행되는 웹 애플리케이션을 DDos공격으로부터 보호하는 관리형 서비스 (추가 비용 없이 모든 AWS고객에게 자동으로 활성화) 하지만 Shield Advanced는 선택이 가능한 유료 서비스
  • WAF – WAF는 고객이 정의한 조건에 따라 웹 요청을 허용, 차단 또는 모니터링(계수)하는 규칙을 구성하여 공격으로부터 웹 애플리케이션을 보호하는 웹 애플리케이션 방화벽
  • Artifact – 콘솔에서 사용할 수 있으며, 고객에게 AWS의 규정 준수 문서와 AWS 계약에 대한 온디맨드 액세스를 제공하는 셀프서비스 감사 아티팩트 검색 포털 (AWS ISO 인증, PCI 및 SOC보고서와 같은 AWS 보안 및 규정 준수 문서를 다운로드, 계약을 사용하여 AWS 계약을 검토 및 수락하고 그 상태를 추적)

애플리케이션 통합 서비스

MQ – Management Console. CloudFormation, 명령줄 CLI 또는 간단한 API 호출을 사용해 몇 분 만에 프로덕션용 메시지 브러커를 시작할 수 있다. MQ는 하드웨어 프로비저닝, 브로커 설정, 소프트웨어 업그레이드, 장애 탐지 및 복구와 같은 관리 태스크를 수행 (쉽고 빠르게 기존에 사용 중인 메시징 애플리케이션에서 클라우드로 이동하고 싶다면 MQ 추천 )즉, 간단히 말하면 메시지 기반의 미들웨어로 메시지를 이용하여 여러 애플리케이션, 시스템들을 연결해주는 솔루션

SQS – 메시지 대기열 서비스로 메시지 저장소다. 시스템이 처리할 수 있는 메시지양에 대해 걱정하지 않아도 된다. (분산 시스템을 구성할 때 시스템간 메시지를 주고받을 수 있는 메시지통으로 생각하면 된다. 전송, 수신, 삭제 기능을 제공)

SNS – 클라우드에서 손쉽게 알림을 설정, 운영 및 전송할 수 있도록 하는 웹 서비스, 즉 구독 중인 엔드포인트 또는 클라이언트에 메시지 전달을 조정 및 관리하는 웹 서비스 메시지 브로커라고 보면 될 거 같다.

Untitled 1

AppSync – 클라이언트 앱이 서버에서 데이터를 가져오고 변경하고 구독할 수 있도록 지원하는 데이터 언어인 GraphQL을 사용 (클라이언트는 필요한 데이터만 필요한 형식의 데이터로 쿼리 및 데이터 검색)

SWF – 분산 애플리케이션 구성 요소에서 작업을 쉽게 조정할 수 있도록 해주는 웹 서비스

분석

  • Athena – 표준 SQL을 사용해 S3에 저장된 데이터를 간편하게 분석할 수 있는 대화식 쿼리 서비스(Athena는 S3에 저장된 데이터를 분석하는 데 도움이 된다.)
  • EMR – EMR은 비즈니스, 연구원, 데이터 분석가 및 개발자가 막대한 양의 데이터를 간편하게, 비용 효울적으로 처리할 수 있는 웹 서비스 (Elastic MapReduce) EMR을 사용해 웹 인덱싱, 데이터 마이닝, 로그 파일 분석, 시스템 학습, 재무 분석, 과학 시뮬레이션, 생물정보학 연구와 가은 애플리케이션의 데이터 집약적인 작업을 수행하는 데 필요한 적당한 용량을 즉시 프로비저닝

Untitled

  • CloudSearch – AWS 클라우드의 완전 관리형 서비스로, 이를 이용해 웹 사이트 또는 애플리케이션을 위한 검색 솔루션을 쉽게 설치, 관리 및 확장할 수 있다.
  • CloudSearch는 구글처럼 봇이 웹사이트 데이터를 크롤링하는 방식이 아니라 사용자가 직접 검색 도메인에 데이터를 넣어주어야 한다. 검색 도메인에 데이터를 올리면 알아서 검색 인스턴스에 저장하고, 데이터 용량이 늘어나거나 검색 트래픽이 늘어나면 자동으로 검색 인스턴스 개수를 늘려준다. (데이터 용량과 검색 요청의 복잡도에 따라 자동으로 확장하기 때문에 빠르고 정확한 검색 결과를 얻을 수 있다.)
  • Elasticsearch Service – AWS 클라우드에 손쉽게 Elasticsearch 클러스터를 배포하고, 운영하고, 확장할 수 있게 지원하는 관리형 서비스
  • Kinesis – 특수 요구에 맞춰 스트리밍 데이터를 처리 또는 분석하는 사용자 지정 애플리케이션을 구축할 수 있다. 데이터 생산자의 데이터를 신속하게 이동한 다음 지속적으로 데이터를 처리하고, 데이터 스토어를 보내기 전에 데이터를 변환하고, 실시간 지표 및 분석을 수행하거나 이후 처리를 위해 더욱 복잡한 데이터 스트림을 추출하는 데 유용하다.
  • QuickSight – 매우 빠르고 사용이 간편한 클라우드 기반 비즈니스 분석 서비스로서, 조직 내 모든 직원이 언제든 어느 디바이스에서나 자신의 데이터를 사용해 손쉽게 시각화를 구축하고, 임시 분석을 수행하며, 신속하게 비즈니스 통찰력을 확보할 수 있다.
  • SPICE – QuickSight는 고속의 병렬 인 메모리 연산 엔진인 SPICE로 구축되어 있다. 처음부터 클라우드를 위해 구축된 SPICE는 열 형식 스토리지, 최신 하드웨어 혁신으로 가능해진 인 메모리 기술, 머신 코드 생성을 조합하여 대규모 데이터 세트에서 대화형 쿼리를 실행하고 빠른 응답을 확보할 수 있다.
  • Data Pipeline – AWS 클라우드에서의 정기적인 데이터 이동 및 데이터리 처리 활동을 손쉽게 계획할 수 있게 지원하는 웹 서비스 (데브옵스의 핵심이라고 생각함)
  • Glue – 분석을 위해 데이터를 준비하는 시간 소모적인 단계를 자동화하는 완전관리형 ETL(추출, 변환 및 로드) 서비스로서, 사용량에 따라 요금을 지불 (소유한 데이터의 속성을 검색하고, 데이터를 변환하여 분석용으로 준비하는 데 사용해야 한다.)
AWS