본문 바로가기
Amazon Web Serivce 자격증 쉽게 공부하기/[C01]AWS Sysops Administrator Associate

SOA #14, Compliance - 2 ( 완결 )

by 네트워크 엔지니어 환영 2020. 9. 8.
반응형

Hypervisors

  • VM을 실행하는 컴퓨터 소프트웨어
  • 하나 이상의 VM을 실행하는 컴퓨터를 Host machine라 하며 실행되는 VM을 Guest machine이라 함
  • EC2는 Xen Hypervisor 상에서 실행되며 PV,HVM으로 나뉨
  • Hypervisor는 관리자만 접근 가능, AWS 직원은 EC2에 접근할 권한이 없음

전용 인스턴스 vs 전용 호스트

  • 전용 인스턴스 : 한 고객에게 종속되는 하드웨어 위에서 실행되는 VPC 내 인스턴스를 말함
    • 다른 계정들과 다른 하드웨어를 사용함
  • 공통점 : 전용 하드웨어를 사용하여 제공
  • 가장 큰 차이점
    • 전용호스트는 추가적인 가시성과 인스턴스들이 물리 서버에 어떻게 배치되는지에 대한 권한을 줌(소켓, 코어, 호스트 ID)
    • 전용 호스트는 고객이 보유한 소프트웨어 라이센스를 사용할 수 있게 해줌
    • 전용 인스턴스는 다른 AWS 인스턴스(서비스)들과 같은 하드웨어를 사용함

System Manager EC2 Run Command

  • 태그를 이용하여 한 그룹의 서비스에 명령을 내리는 서비스
  • On-premise의 서비스에도 가능함
  • 시스템 매니저 문서에 명령어와 파라미터가 정의되어있음
  • 에이전트가 설치되어 있어야 함

AWS Config with S3

  • S3 bucket public write prohibited : 전역 쓰기 접근을 허용하는 버킷을 자동으로 식별
  • S3 bucket public read prohibited : 전역 읽기 접근을 허용하는 버킷을 자동으로 식별

Inspector vs Trusted Advisor

  • Inspector : 앱의 보안 정도를 자동으로 평가해주는 서비스
    • 타겟 생성 - > 에이전트 설치 - > 템플릿 생성 - > 실행
  • Trusted Advisor
    • 비용, 보안, 가용성, 성능을 확인

Shared Responsibility Model

  • AWS는 클라우드의 보안을 책임지지만, 고객은 클라우드 내 보안을 책임짐
  • 고객은 콘텐츠와 플랫폼, 앱, 시스템, 네트워크를 보호할 수단을 고를 권한을 가지고 있음
  • AWS의 책임 범위
    • 인프라스트럭쳐
    • 하드웨어, 소프트웨어, 네트워킹, 시설
    • RDS와 같은 관리되는 서비스(RDS OS 업그레이드, Database 업데이트, PHP 업데이트)
  • 고객 책임 범위
    • 업데이트나 보안 패치 같은 것(EC2 OS 패치, 안티바이러스, 보안 그룹 설정)
    • 방화벽 설정

Security Summary

  • DDoS 적용 가능 서비스 : Cloudfront, Route 53, ELB, WAF, Autoscaling, Cloudwatch
  • Shield : 기본적으로 활성화되어있는 서비스, 추가옵션(Advanced Shield)은 3천달러의 비용 추가
  • IAM : Json을 통해 커스터마이징 가능하며 연결시 즉시 활성화
  • MFA : 루트 계정과 사용자 계정 모두 가능 적용, STS를 통해 활성화
반응형

댓글