AWS Shared Responsibility Model 이해하기
Source: Dev.to
번역을 진행하려면 번역하고자 하는 본문 텍스트를 제공해 주시겠어요?
현재는 링크만 제공되어 있어, 실제 내용이 없으므로 정확한 번역을 할 수 없습니다.
본문을 복사해서 붙여 주시면 요청하신 대로 한국어로 번역해 드리겠습니다.
Domain 2: Security & Compliance
Task Statement 2.1
새로운 도메인 시험입니다. 개인 목표를 설정하고 있을 때, AWS는 클라우드가 불타는 것을 막는다와 같은 목표를 설정하고 있습니다. 단, 일부 보안 작업은 여러분에게 맡겨집니다.
AWS Shared Responsibility Model에 오신 것을 환영합니다.
What Is This Task Testing?
다음 내용을 이해해야 합니다:
- AWS 공유 책임 모델
- 모델의 주요 구성 요소
- AWS가 책임지는 부분
- 고객이 책임지는 부분
- 공유되는 부분
- 서비스에 따라 책임이 어떻게 변하는지 (예: Amazon EC2 vs Amazon RDS vs AWS Lambda)
The AWS Shared Responsibility Model
가장 간단하게 기억하는 방법:
- AWS는 클라우드의 보안을 책임집니다
- 고객은 클라우드 내 보안을 책임집니다
이 모델은 누가 어떤 보안 통제를 담당하는지를 정의하여 혼란을 줄이고 위험 관리를 개선합니다.
AWS 책임 (Security OF the Cloud)
AWS는 AWS 서비스가 실행되는 기본 인프라를 보호할 책임이 있습니다.
Typical responsibilities:
- Physical security: 데이터 센터, 건물, 접근 제어, 감시
- Hardware and infrastructure: 서버, 스토리지, 네트워킹 장비
- Virtualization layer: 많은 서비스의 호스트 OS/하이퍼바이저
- Core networking: 플랫폼을 지원하는 기본 네트워킹 서비스
데이터 센터, 하드웨어, 또는 기본 클라우드 인프라와 관련된 경우라면 거의 항상 AWS가 책임집니다.
고객 책임 (클라우드 내 보안 IN)
고객은 AWS에 배포하고 구성하는 모든 것에 대해 책임이 있으며, 여기에는 액세스 제어 및 데이터 보호가 포함됩니다.
일반적인 책임:
- Identity and access management (IAM): 사용자, 역할, 정책, MFA
- Data protection: 암호화 선택, 키 관리 결정, 데이터 분류
- Network configuration: 보안 그룹, NACL, VPC 구성
- OS and application management: 패치, 하드닝(해당되는 경우)
- Customer data: 저장하는 내용, 저장 방식, 접근 가능한 사람
- Logging and monitoring configuration: 추적 및 알림 활성화
권한, 잘못된 구성, 데이터 노출, 애플리케이션 보안과 관련된 경우는 일반적으로 고객 책임입니다.
공유 책임 (맥락에 따라 다름)
일부 영역은 AWS와 고객이 모두 역할을 수행하기 때문에 공유됩니다.
공통 공유 영역:
- Configuration management: AWS는 보안 도구를 제공하고, 고객은 이를 올바르게 구성해야 합니다.
- Patch management: AWS는 인프라를 패치하고, 고객은 OS/애플리케이션을 직접 관리할 경우 이를 패치해야 합니다.
- Awareness and training: AWS는 문서를 제공하고, 고객은 직원이 모범 사례를 따르도록 해야 합니다.
- Incident response: AWS는 플랫폼을 보호하고, 고객은 자신의 계정/워크로드에서 발생한 사건에 대응합니다.
- Compliance: AWS는 규정 준수 인프라를 제공하지만, 고객은 이를 설계하고 운영할 때 규정을 준수해야 합니다.
“AWS가 기능을 제공하고, 고객이 이를 활성화/구성해야 한다”는 경우는 보통 공유 책임입니다.
서비스 유형에 따른 책임 변화
귀하의 책임은 IaaS, PaaS, 혹은 서버리스/관리형 서비스를 사용하는지에 따라 달라집니다.
A. Amazon EC2
- AWS가 담당: 물리 시설, 하드웨어, 기본 인프라스트럭처
- 고객이 담당: 게스트 OS 패치, 소프트웨어 설치, 구성, 애플리케이션 보안, 데이터, IAM, 네트워크 제어
EC2에서는 운영 체제 및 그 위의 계층에 대한 책임이 귀하에게 있습니다.
B. Amazon RDS
- AWS가 담당: 데이터베이스 엔진 패치/유지보수(서비스에 따라 다름), 백업 기능, 기본 인프라스트럭처
- 고객이 담당: 데이터베이스 접근 제어, 네트워크 노출, 암호화 설정, 파라미터 선택, 데이터, IAM
EC2처럼 데이터베이스 호스트를 직접 관리하지는 않지만 데이터 보안 및 접근은 여전히 귀하가 제어합니다.
C. AWS Lambda
- AWS가 담당: 서버, OS, 런타임 인프라스트럭처, 스케일링, 서비스 가용성
- 고객이 담당: 함수 코드, IAM 권한, 비밀 관리, 이벤트/입력 검증, 데이터 보호
귀하는 코드 + 권한 + 데이터에 집중하고, 플랫폼 운영은 AWS가 담당합니다.
Quick Comparison
- EC2: 고객이 OS + patching + runtime + app을 관리
- RDS: AWS가 database platform을 관리; 고객이 data + access + configuration을 관리
- Lambda: AWS가 servers/OS/scaling을 관리; 고객이 code + IAM + data를 관리
빠른 시험‑스타일 요약
- AWS = 클라우드의 보안
- 고객 = 클라우드 내 보안
서비스별 책임 전환:
- 더 많은 관리형/서버리스 → more AWS responsibility
- 더 많은 인프라 제어(예: EC2) → more customer responsibility