AWS 보안: AWS 보안 서비스와 클라우드 보호 방법, 초등학교 4학년 수준으로
Source: Dev.to
AWS를 거대한 디지털 도시라고 상상해 보세요. 악의적인 행위자는 다음과 같은 일을 시도할 수 있습니다:
- 허가 없이 집에 들어가기
- 비밀을 훔치기
- 창문을 깨뜨리기
- 교통 체증 만들기
AWS는 이 도시를 안전하게 지키기 위해 보안 요원, 자물쇠, 카메라, 경보 및 규칙을 제공합니다. 이제 하나씩 만나보며 이야기를 풀어갑시다.
IAM – 신분증 검사기
IAM은 학교 정문 경비와 같습니다. 누구든 들어오기 전에 “신분증을 보여 주세요!” 라고 말하고 다음을 결정합니다:
- 누가 AWS에 들어갈 수 있는지
- 어떤 방(리소스)에 접근할 수 있는지
- 어떤 작업을 수행할 수 있는지
누군가 비밀번호를 탈취했지만 MFA가 활성화된 경우, IAM은 전화나 OTP가 없으므로 차단합니다.
예방하는 것
- 무단 접근
- 계정 탈취
보안 그룹 – 문 잠금
보안 그룹은 각 교실 문에 있는 잠금 장치입니다. 이들은 다음을 결정합니다:
- 누가 들어올 수 있는지
- 누가 나갈 수 있는지
허가된 방문자만 입장할 수 있습니다. 해커가 무작위 IP로 서버를 스캔하면 보안 그룹이 즉시 차단합니다.
방지하는 것
- 포트 스캔
- 무단 네트워크 접근
NACLs – 학교 경계벽
NACLs는 학교 주변의 큰 경계벽입니다. 그것들은:
- 서브넷 수준에서 트래픽을 허용하거나 차단합니다
- 추가 방어 계층으로 작동합니다
의심스러운 트래픽이 악성 국가/IP 범위에서 오는 경우, NACLs는 서버에 도달하기 전에 차단합니다.
Prevents
- 대규모 원치 않는 트래픽
- 네트워크 오용
AWS WAF – 웹 바디가드
WAF는 웹사이트를 위한 바디가드입니다. 다음을 차단합니다:
- 나쁜 URL
- 위험한 입력
- 한 번에 너무 많은 요청
-- Example of a SQL Injection attempt
' OR 1=1 --WAF는 이러한 공격을 즉시 차단합니다.
방지
- SQL 인젝션
- 교차 사이트 스크립팅 (XSS)
AWS Shield – 홍수 방어기
Shield는 인터넷 홍수(DDoS 공격)로부터 보호합니다. 수천 명이 한 번에 학교에 들어가려는 상황을 상상해 보세요 — Shield가 인파를 관리합니다. 공격자가 수백만 개의 요청을 보내 웹사이트를 다운시키려 하면, Shield가 트래픽을 흡수합니다.
Prevents
- DDoS 공격
- 웹사이트 다운타임
AWS KMS – 잠금 장치 제작자
KMS는 데이터에 강력한 잠금을 생성합니다. 누군가 데이터를 훔치더라도 키 없이는 쓸모가 없습니다.
Prevents
- 데이터 도난
- 규정 위반
Secrets Manager – 비밀 일기
Secrets Manager는 다음을 저장합니다:
- 비밀번호
- API 키
- 데이터베이스 자격 증명
안전하고 비밀스럽게 저장합니다. 코드에 비밀번호를 하드코딩하는 대신(해커가 읽을 수 있음), Secrets Manager가 이를 숨깁니다.
Prevents
- 자격 증명 유출
- GitHub에서의 우발적 노출
GuardDuty – 스마트 감시자
GuardDuty는 절대 잠들지 않습니다. 다음을 감시합니다:
- 로그인 행동
- API 호출
- 네트워크 트래픽
그리고 “뭔가 수상합니다!” 라고 외칩니다. 누군가가 자정에 다른 나라에서 로그인하면 GuardDuty가 알림을 보냅니다.
예방하는 항목
- 수상한 활동
- 암호화폐 채굴 공격
Inspector – 건강 검사기
Inspector는 서버를 의사처럼 점검합니다. 다음을 확인합니다:
- 구식 소프트웨어
- 알려진 보안 문제(CVEs)
서버에 패치되지 않은 취약점이 있으면, Inspector가 해커가 이를 악용하기 전에 경고합니다.
예방
- 악용
- 알려진 취약점
CloudTrail – CCTV 카메라
CloudTrail은 다음을 기록합니다:
- 누가 무엇을 했는지
- 언제 했는지
- 어디서 했는지
누군가 리소스를 삭제하면, CloudTrail은 정확히 누가 삭제했는지 알려줍니다.
도움이 되는 영역
- 조사
- 규정 준수 감사
Security Hub – The Control Room
Security Hub는 중앙 제어실입니다. 다음 서비스에서 알림을 수집합니다:
- GuardDuty
- Inspector
- IAM
- Config
그리고 모든 정보를 한 곳에 표시합니다. 열 개의 도구를 확인하는 대신, 보안 팀은 단일 대시보드에서 모든 것을 볼 수 있습니다.
AWS 보안이 함께 작동하는 방식 (어린이 스타일)
- 경비원 → IAM
- 잠금장치 → Security Groups
- 벽 → NACLs
- 카메라 → CloudTrail
- 알람 → GuardDuty
- 의사 → Inspector
함께 하면 해커를 막고, 데이터를 보호하며, 애플리케이션을 안전하게 유지합니다.