[AWS-Security] 1.1. 공동 책임 모델

1. 개요

AWS 클라우드에서 애플리케이션을 실행하는 경우, AWS에서는 공동 책임 모델에 따라 일정 수준 이상의 보안을 제공하는 것에 동의한다. -> AWS가 클라우드의 보안을 관리하고, 고객은 클라우드에서의 보안을 책임지는 것이다.

![image][/assets/img/posts/AWS/AWS04_01.png]

1.1. AWS의 책임

아래 내용들은 물리적인 자체 서버를 운영하는 경우 운영자가 직접 수행해야 할 내용들이다.

• 물리적 및 환경적 보안
  • AWS는 데이터센터가 물리적 및 환경적 보안 위험으로부터 안전하도록 보장한다.
  • 하드웨어에 대한 물리적 접근을 보안 직원이 보호하며, 데이터센터 시설에 대한 접근을 엄격하게 통제한다.
  • 전원 백업 시스템의 관리를 통해 전원 공급이 중단되는 상황에서도 EC2 인스턴스가 종료되지 않도록 한다.
  • 화재 또는 기타 온도 문제와 같은 환경적 위험을 모니터링하며, 호스트의 영향을 미치지 않도록 보호 대책을 갖추고 있다.
• 호스트 보안
  • 아래 사진은 AWS가 EC2에 적용한 가상 머신을 생성하는 데 사용하는 호스트 가상화의 기본 모델을 의미한다.
    ![image][/assets/img/posts/AWS/AWS04_01.png]

  • AWS에서 하드웨어, 호스트 OS, 하이퍼바이저 영역의 운영 및 보안을 관리한다.

    가상화 호스트 환경에서 발생할 수 있는 공격 벡터

    1. 공격자가 호스트 OS에 접근해 게스트 OS를 엉망으로 만드는 경우
    2. 동일한 시스템에 게스트 OS가 있는 공격자가 가상화된 환경에서 벗어나 VM Escape(VM 탈출)이라고 하는 다른 VM에 대한 접근 권한을 획득하는 경우
       

• 네트워크 보안
  • EC2 인스턴스에 대한 접속을 특정 IP로만 제한하는 것은 Security Group을 통해 가능하다.
  • 이러한 Security Group을 올바르게 설정하는 것은 이용자의 책임이지만, Security Group이 정상적으로 동작하게 하는 것은 AWS의 책임이다.
  • 또한, 네트워크 트래픽 내의 무결성을 보장하는 것도 AWS의 책임이다.
• 일반화 위에 나열한 예시 외에도, 나머지 AWS 서비스에도 적용된다. 컴퓨팅, 데이터베이스, 스토리지 및 기타 모든 종류의 서비스를 지원하는 인프라를 보호한다.

1.2. 고객의 책임

클라우드에서 수행하는 모든 작업에 대한 책임은 고객에게 있다.

• 접근 제어 구성
  • 인스턴스에 대한 네트워크 접근을 제어하기 위해 Security Group을 올바르게 구성해야 한다.
  • AWS IAM을 통해 EC2에 대한 프로그래밍 방식/AWS Management Console 접근을 관리할 책임이 있다.
  • 이외 자격증명(Credentials)의 안정성도 확인해야 한다.
• 애플리케이션 취약성 보호
  • EC2 인스턴스에서 실행되는 웹 애플리케이션과 기타 소프트웨어의 취약성으로부터 보호할 책임이 있다.
  • 호스트의 오래된 소프트웨어 패치, Dos 공격 방지, 웹 애플리케이션의 보안 버그 제거 등등 다양하다.