AWS_re:Invent 2022_보안팀_다녀옴
말로하는 정보보안_클라우드 보안_S3
안녕하세요, KCD 정보보안팀 Linkin 입니다.
2022 AWS re:Invent 에 참가한 개인적인 소감을 적은 글입니다.
“바야흐로 클라우드의 시대이다.” 라는말을 많이 듣는다.
몇해동안 임직원들은 업무를 집으로 가져갔고
보안팀은 임직원들의 위치도 매순간 고려해야했다.
업무뿐만 아니라 회사 서비스도 신대륙 클라우드로 갔고
이제 보안팀은 광활한 신대륙에서 자원을 보호해야한다.
우리는 기회의 신대륙에서 무엇을 보호 해야하고
어떻게 구대륙의 법을 지켜가며 개척할 수 있을까?
나는 이런 궁금증을 가지고
드디어 변화의 근원지 미국에서 열리는 AWS_re:Invent 2022 에 참가하게 되었다.
사전 준비물 :
여권. ESTA 비자. CDC서약서. 영문 2차 백신접종증명서. 호텔바우처
그리고 장거리 비행에 필요한 각자의 준비물들..
* TIP : AWS event 앱, 우버 카드등록
- AWS Re:invent 2022 Pass 회원을 가입하고 등록하면 약 4주전부터 듣고싶은 세션을 사전에 예약할 수 있다.
- AWS event 앱 :
보통 MSP 업체에서 대행하여 등록해주지만 관심있는 세션(1500+) 은 본인이 알아서 챙겨 들어야한다. 그 과정에서 세션 정보, 타입, 호텔 컨퍼런스룸 위치 등 다양한 정보를 해당 앱에서 제공한다.
- 우버 카드 등록 :
각 호텔간 편한 이동을 위해서 필수!!
Day 1. 출국 : 라스베가스 도착 (토)
13시간 정도를 날아서 미국 라스베가스에 도착했다.
Day 2. 그랜드캐년 관광 (일)
미국 출장을 다녀오신 IT 아재들의 카카오톡 프로필을 바꾸게 만든다는 그곳에 다녀왔다.
탁 트인 광활한 대지에 깊은 골자기.. 그리고 KCD 독수리 8형제 !
(아마 형제들의 카톡프로필 사진도 그랜드캐년으로 바껴있겠지..?)
그렇게 하루 동안 아메리카 대륙의 스케일에 적응하는 시간을 보냈다.
— — — — — — — — — — — — — — — — — — — — — —
Day 3~6. re:Invent 시작 (월~목)
드디어 첫날 리인벤트 등록(한화 약 180만원정도..) 했다.
맞은편에서 SWAG (후드집업, 물통)에서 등록증을 받으니
현지 시각 새벽 6시였음에도 당장 세션을 듣고 싶은 욕구가 뿜어 올랐다.
-AWS 코리아에서 준비해주는 행사 정보-
-세션 정보-
모든 세션은 사전에 한국에서 미리 예약을 하거나
듣고 싶었지만 실패한 세션은 AWS event 앱에서 즐겨찾기에 추가하고
세션 시작 30분전부터 현장 줄서기를 하면 들을 수 도 있다.
아래 내용은 1일 2세션을 목표로 열심히 걸어 다녀서 귓 동냥한 내용이다.
AWS re:Invent 2022 의 더 많은 세션 내용모음
약 1500+ 세션을 전부 듣는 것과 1일 3개 이상의 세션을 듣는 건 물리적으로 불가능하다.
듣고 싶었지만 못들은 세션은 즐겨찾기 해놓고 한국에서 다시 듣기를 추천메가존 리인벤트 세션 후기 모음 (스냅샷)
- https://www.megazone.com/blog/AWS re:Invent 2022 한국어 Daily Recap Playlist (기조연설 영상)
- https://youtube.com/playlist?list=PLORxAVAC5fUUmumUj0Q4JaraT6WNMbfuO
- How to address Kubernetes attack vectors with Chan
- confidentiality, Integrity, Availabilty
- 세션타입 : Overflow (기술, 기능 설명) - Security and data access controls in Amazon EMR
- 세션타입 : Talk & Question (설명 및 질의응답) - Obserbabillity in Amazon CloudWatch
- 세션타입 : New Launch - Fintech / Banking
- 세션타입 : 메가존 솔루션 데이
MSP 사업자인 메가존에서 고객사를 대상으로 별도 사례 발표 세션을 갖는다. - DevOPS tool 신규 제품 소개
- 세션타입 : Private briefing
공식적인 발표 시간 외 사적으로도 관심 있는 서비스의 AWS 개발자분들을 볼 수 있다. - 멀티부스 관람
- AWS 의 다양한 기술 파트너들의 제품을 소개
3rd paty 벤더들의 제품 소개와 음료, 작은 증정품(티셔츠)을 받을 수 있다.
필요하다면 한국에서 따로 제품 소개도 받을 수 있게 해준다. - Automate data discovery with Amazon Macie
- 세션타입 : New Launch (새로운 기능, 제품 소개)
Amazon Macie는 기계 학습 및 패턴 일치를 사용하여 Amazon S3에서 중요한 데이터를 검색, 보호 및 가시성을 개선하는 데이터 보호 서비스이다.
이 새로운 기능을 사용하면 모든 S3 버킷에서 전체 데이터 검사를 실행하는 비용의 일부만으로 민감한 데이터가 Amazon S3 에 상주하는 위치를 파악할 수 있다.
그리고 다수 procuction AWS Accont 에서도 각 계정의 Macie을 Administrator 로 통합하여 그룹 관리가 가능하다.
- Amazon S3 security and access control best practices
- 세션타입 : Overflow (기술, 기능 설명)
Amazon S3 보안 및 액세스 제어 방법과 Best Practices 을 소개
1. Block Public Access :
S3 버킷에 Block Public Access를 적용하여 데이터 보안 설정
2. Encryption :
S3 버킷 레벨에서 기본 암호화 설정을 활성화 하고, S3 버킷 키를 사용하여 AWS KMS를 사용 비용 감소
3. Bucket Policies :
범위를 정하기 위해 deny 문구 사용, IAM, Amazon S3 버킷에 접근 권한 혹인 객체에 접근 권한 부여
4. Disable ACLs :
S3 버킷 소유자가 S3 Object 소유권에 대해 ACLs를 비활성화 하도록 함
5. IAM Access Analyzer and logging your request :
IAM Access Analyzer로 허용 설정이 의도한대로 되었는지 확인하고, Amazon S3 server access log와 AWS CloudTrail로 bucket에 대한 기록을 남김
S3 보안 Best practices
1. 접근 제어 정책을 만든다.
2. 설정 변경과 접근 기록을 로깅 한다.
3. 데이터는 암호화하여 저장 한다.
4. 개인정보가 있는지 주기적으로 확인 한다.
데이터 보호 전략을 수립하는 것은 기존 on-prem에서도 중요하고
최근의 클라우드 환경에서도 중요하다.
보유하고 있는 데이터를 보호하는 전략을 세우는 것은 파악하는 것에서 부터 시작한다.
그리고 민간함 데이터를 검색하고 식별하여 보호 및 가시성을 위해 개선해야한다.
“기존 on-prem 환경에서의 보안절차와 크게 다르지 않다.”
Day 7. 귀국 : 한국 도착 (금)
다시 13시간을 날아서 한국으로 도착.
— — — — — — — — — — — — — — — — — — — — — —
마치며..
최근 보안업계에서 화두인 단어가 있다.
“zero-trust”
ID 및 액세스를 관리하고, 네트워크와 애플리케이션을 보호하고, 의심스러운 활동을 감지하고, 데이터를 보호하고, 규정 준수 상태를 보고 및 모니터링한다.
기존과 바라보는 관점과 절차가 다르지 않은데
왜 zero-trust 모델로 바꿔야 하는지 늘 이해가 잘되지 않았다.
AWS가 바라보는 클라우드 환경에서의 보안을 생각해보니 이제야 이해가 된다.
클라우드 사용자의 직무를 파악하고, 역할, 행위에 맞는 계정 권한만 부여한다.
보안팀은 사용자의 행위를 모니터링하고 의심하며 즉각 대응할 수 있어야 한다.
기존 구대륙에서 방어는 관문에 집중되어있으니
현재 신대륙에서 자원은 권한에 집중해야 효과적일 것이다.
매년 개최되는 행사에 참가할때 조금이라도 도움이 되시길 바라며 몇자 적었는데요.
읽으시는분의 넓은 아량으로 작은 글 솜씨를 이해해주실 바랍니다..
짧고 모자란 내용을 끝까지 읽어주셔서 감사합니다.
끝!
