SOA #14, Compliance - 2 ( 완결 )

Hypervisors

• VM을 실행하는 컴퓨터 소프트웨어
• 하나 이상의 VM을 실행하는 컴퓨터를 Host machine라 하며 실행되는 VM을 Guest machine이라 함
• EC2는 Xen Hypervisor 상에서 실행되며 PV,HVM으로 나뉨
• Hypervisor는 관리자만 접근 가능, AWS 직원은 EC2에 접근할 권한이 없음

전용 인스턴스 vs 전용 호스트

• 전용 인스턴스 : 한 고객에게 종속되는 하드웨어 위에서 실행되는 VPC 내 인스턴스를 말함
  • 다른 계정들과 다른 하드웨어를 사용함
• 공통점 : 전용 하드웨어를 사용하여 제공
• 가장 큰 차이점
  • 전용호스트는 추가적인 가시성과 인스턴스들이 물리 서버에 어떻게 배치되는지에 대한 권한을 줌(소켓, 코어, 호스트 ID)
  • 전용 호스트는 고객이 보유한 소프트웨어 라이센스를 사용할 수 있게 해줌
  • 전용 인스턴스는 다른 AWS 인스턴스(서비스)들과 같은 하드웨어를 사용함

System Manager EC2 Run Command

• 태그를 이용하여 한 그룹의 서비스에 명령을 내리는 서비스
• On-premise의 서비스에도 가능함
• 시스템 매니저 문서에 명령어와 파라미터가 정의되어있음
• 에이전트가 설치되어 있어야 함

AWS Config with S3

• S3 bucket public write prohibited : 전역 쓰기 접근을 허용하는 버킷을 자동으로 식별
• S3 bucket public read prohibited : 전역 읽기 접근을 허용하는 버킷을 자동으로 식별

Inspector vs Trusted Advisor

• Inspector : 앱의 보안 정도를 자동으로 평가해주는 서비스
  • 타겟 생성 - > 에이전트 설치 - > 템플릿 생성 - > 실행
• Trusted Advisor
  • 비용, 보안, 가용성, 성능을 확인

Shared Responsibility Model

• AWS는 클라우드의 보안을 책임지지만, 고객은 클라우드 내 보안을 책임짐
• 고객은 콘텐츠와 플랫폼, 앱, 시스템, 네트워크를 보호할 수단을 고를 권한을 가지고 있음
• AWS의 책임 범위
  • 인프라스트럭쳐
  • 하드웨어, 소프트웨어, 네트워킹, 시설
  • RDS와 같은 관리되는 서비스(RDS OS 업그레이드, Database 업데이트, PHP 업데이트)
• 고객 책임 범위
  • 업데이트나 보안 패치 같은 것(EC2 OS 패치, 안티바이러스, 보안 그룹 설정)
  • 방화벽 설정

Security Summary

• DDoS 적용 가능 서비스 : Cloudfront, Route 53, ELB, WAF, Autoscaling, Cloudwatch
• Shield : 기본적으로 활성화되어있는 서비스, 추가옵션(Advanced Shield)은 3천달러의 비용 추가
• IAM : Json을 통해 커스터마이징 가능하며 연결시 즉시 활성화
• MFA : 루트 계정과 사용자 계정 모두 가능 적용, STS를 통해 활성화