AWS 보안은 공동의 책임입니다. AWS는 클라우드의 보안에 대한 책임을 지지만, 클라우드의 보안에 대한 책임은 고객에게 있습니다. AWS 및 기타 공급업체에서 제공하는 다양한 도구와 서비스를 사용하여 보안 및 컴플라이언스 목표를 달성할 수 있습니다. 특히 AWS 보안 그룹은 Amazon EC2 리소스를 보호하는 데 도움이 됩니다.
AWS 보안 그룹은 EC2 인스턴스의 가상 방화벽 역할을 하여 수신 및 발신 트래픽을 제어합니다. 인바운드(inbound) 및 아웃바운드(outbound) 규칙은 각각 인스턴스로 들어오는 트래픽과 인스턴스로부터의 트래픽 흐름을 제어 합니다.
AWS 보안 그룹은 EC2 시스템에 트래픽이 허용되는 방식을 제어하여 클라우드 환경을 보호하는 데 도움이 됩니다. 보안 그룹을 사용하면 인스턴스 수준에서 흐르는 모든 트래픽이 설정된 포트와 프로토콜을 통해서만 전달되도록 할 수 있습니다.
Amazon EC2에서 인스턴스를 시작할 때 특정 보안 그룹에 할당해야 합니다. 연결된 인스턴스를 포함하여 지정된 서비스와의 트래픽을 허용하는 규칙을 각 보안 그룹에 추가할 수 있습니다.
화이트리스트와 마찬가지로 보안 그룹 규칙은 항상 허용적입니다. 액세스를 거부하는 규칙을 만들 수 없습니다. 예를 들어, Elastic Load Balancer(ELB)에서 웹 서버가 있는 서브넷으로 들어오는 트래픽이 있을 수 있습니다. AWS 보안 그룹은 해당 ELB를 유일하게 허용된 소스로 나열할 수 있습니다.
보안 그룹은 상태 저장이므로 인바운드 요청이 통과하면 아웃바운드 요청도 통과됩니다.
각 EC2 인스턴스에 대해 하나 이상의 보안 그룹을 지정할 수 있으며, 네트워크 인터페이스당 최대 5개까지 지정할 수 있습니다. 또한 VPC의 서브넷에 있는 각 인스턴스를 서로 다른 보안 그룹 세트에 할당할 수 있습니다. 트래픽이 인스턴스에 도달하도록 허용할 때 Amazon EC2는 연결된 모든 보안 그룹의 모든 규칙을 평가합니다.
규칙이 추가되거나 수정되면 보안 그룹과 연결된 모든 인스턴스에 자동으로 적용됩니다.
CloudGuard와 같은 도구를 사용하면 인프라 수준(VPC, 보안 그룹, EC2 및 RDS 인스턴스, Amazon S3 버킷, Elastic Load Balancer 등)에서 클라우드 보안 태세를 시각화하고 구성 드리프트를 대화형으로 감지할 수 있습니다.
NACL(네트워크 액세스 제어 목록)은 하나 이상의 서브넷에서 들어오고 나가는 트래픽을 제어하는 추가 방법입니다. AWS Security Groups와 달리 NACL은 상태 비저장이므로 인바운드 및 아웃바운드 규칙이 모두 평가됩니다. 네트워크 ACL은 VPC에 대한 추가 보안 계층(선택 사항)으로 설정할 수 있습니다.
AWS Firewall Manager를 사용하면 AWS 계정 및 애플리케이션 전반에 걸쳐 방화벽 규칙을 중앙에서 구성하고 관리할 수 있습니다. 2020년 7월 8일, AWS 방화벽 Manager는 "고객이 VPC 보안 그룹을 감사하고 중앙 관리자 계정에서 비 컴플라이언스에 대한 자세한 보고서를 받을 수 있도록 사전 구성된 새로운 규칙"을 출시했습니다. 이 기능을 사용하면 고객이 보안 그룹을 중앙에서 더 쉽게 감사할 수 있습니다." 동시에 "사용자 지정 감사 검사를 수동으로 구성해야 하는 부담을 덜어줍니다."
다른 포인트 솔루션과 마찬가지로 AWS 보안 그룹은 대부분의 조직에 대한 모든 보안 요구 사항을 충족하지 못할 수 있습니다. 모든 인스턴스에서 자체 방화벽을 유지 관리할 수 있습니다.
Checkpoint CloudGuard 플랫폼은 Amazon AWS 환경을위한 클라우드 네이티브 보안 솔루션입니다. CloudGuard Cloud Network Security는 클라우드 및 온프레미스 환경 전반에 걸친 통합 관리를 통해 고급 위협 차단 및 자동화된 네트워크 보안을 제공합니다. CloudGuard는 또한 퍼블릭 클라우드에서 보안 태세(CSPM), 컴플라이언스 자동화 및 침입 탐지에 대한 가시성과 관리를 제공하는 보안 오케스트레이션 플랫폼으로 확장됩니다.
CloudGuard는 Amazon Security Hub와 기본 API 를 통합하여 통합 보안 콘솔에서 조직의 클라우드 보안 및 컴플라이언스 태세의 취약성에 대한 향상된 가시성을 제공합니다.
CloudGuard 클라우드 네트워크 보안은 사이버 공격 및 네트워크 취약성을 적극적으로 방지하고 이러한 위협 경고를 AWS Security Hub 콘솔에 제공합니다. 이 지속적인 위협 차단은 플랫폼의 기본 방화벽, IPS, 애플리케이션 제어, IPSEC VPN, 바이러스 백신 및 안티 둘 다 기능에 의해 구동됩니다.
CloudGuard 를 통해 제공되는 클라우드 보안 태세 관리는 인프라 수준(VPC, 보안 그룹, EC2 및 RDS 인스턴스, Amazon S3 버킷, Elastic Load Balancer 등)에서 클라우드 보안 태세를 시각화하는 데 도움이 됩니다. CloudGuard를 사용하면 구성 드리프트를 대화형으로 감지하고, 새로운 취약성의 영향을 평가하고, 방화벽 규칙 구성 오류를 신속하게 발견할 수 있습니다.
피드백