AWS 기초 : 21년 7월 옮김
출처 : https://aws.amazon.com/ko/getting-started/fundamentals-core-concepts/?e=gs2020&p=gsrc
AWS 5대원칙 |
보안 | 워크로드 표준 및 규정 |
CJIS(Criminal Justice Information Systems) : 법 집행 및 형사 사법 기관을 보호하기 위한 최소한의 정보 보안 요건을 포함하는 보안 정책을 발표 DoD DISA(Department of Defense Defense Information Systems Agency) DoD SRG(Department of Defense Security Requirements Guide) : 미국방부 DISA 의 DoD SRG제공 클라우드 서비스에 대한 기본 보안 요건, DoD에 의한 클라우드 서비스의 사용에 대한 요건 FedRAMP(Federal Risk and Authorization Management Program) :클라우드 제품 및 서비스에 대한 보안 평가, 권한 부여 및 지속적 모니터링에 대한 표준화된 접근 방식을 제공하는 범정부 차원의 프로그램 ITAR(International Traffic in Arms Regulations) : ITAR에서는 ITAR 호환 환경에 저장된 데이터를 미국인이 아닌 사용자가 물리적 또는 논리적으로 접근할 수 없도록 요구 출처 : https://www.ibm.com/kr-ko/cloud/compliance/government |
멘탈 모델 -제로 트러스트 모델 |
제로 트러스트의 관점에서 보안은 모든 시스템 수준에 보안 조치를 적용 - IAM : 최소 권한 원칙 :https://ko.wikiqube.net/wiki/Principle_of_least_privilege 필수적 권한만 처리 - 네트워크 보안 : 네트워크의 모든 레이어에 보안 제어를 적용, 심층적 방어 접근법 : https://ko.wikipedia.org/wiki/%EB%A0%88%EC%9D%B4%EC%96%B4%EB%93%9C_%EC%8B%9C%ED%81%90%EB%A6%AC%ED%8B%B0 - 데이터 암호화 : 모든 곳에 있는 전송중, 저장 중 데이터를 모두 암호화 |
||
IAM | Identity and Access Management : 시스템에서 ID 및 액세스 추적 시스템, 최소 권한 원칙 AIM 정책 _ AWS 내에서 액세스 경계 명시 : 주체 : ID 기반정책 : 작업 및 리소스 : 리소스 기반 정책 : S3, KMS, SES 만 적용 >>권한 여부는 주체의 ID 정책이 허용하고 리소스 기반정책이 금지하지 않아야 |
||
네트워크 보안 | 네트워크, 네트워크 액세스할수있는 리소스의 액세스 , 사용성을 보호하는 시스템, 구성 또는 프로세스 포함. - 네트워크 수준 보안 VPC(Amazon Virtual Private Cloud): 기본 네트워크 수준 .. VPC는 리소스를 정의 및 프로비저닝 할수 있는 논리적 네트워크 |
||
리소스 수준 보안 | 보안그룹 : 가장 일반적, 트래픽 흐름 적용하기 위해 사용하는 가상 방화벽 특정 포트, 인스턴스에서 신뢰할 수 있는 소스로부터의 트래픽만 허용가능 EC2인스턴스, RDS 인스턴스, Lambda 등의 리소스에 보안 그룹을 연결할수 있다. |
||
데이터 암호화 | 1. 전송중 암호화 : HTTP 엔드포인트(데이터가 시스템 사이에서 이동할 때 암호화) 제공 사용자서비스에 전송 중 암호화 적용가능한 네트워크 서비스도 제공 ex) ALB 사용하면 사용자의 엔드포인트에 HTTPS 연결을 적용가능. 2. 저장중 암호화: 시스템 내의 데이터 함호화 AWS 스토리지, 데이터베이스..저장중 암호화 기본수행. 추가비용, 성능저하 없음 대부분 스토리지, DB Amazon KMS(Key Management Service, 데이터 암호화 하기 위해 고객관리키(CMK, Create 아마존...Master Key)를 생성할 수 있도록 해주는 중앙 키 관리 서비스)와 직접 통합 CMK : 암호화 + 사용자 지정 키 저장소 + AWS CloudTrail 같이 암호화된리소스 감사 추적 |
||
VPC | Virtual Private Cloud(VPC) 1. 구성 : VPC = 서브넷 + 라우팅 테이블 + 인터넷 게이트 웨이 + ... 서브넷 : VPC 내부의 IP 주소 범위 라우팅 테이블 : 트래픽이 이동하는 위치를 결정하는 규칙집합 인터넷 게이트웨이 : VPC 내부의 리소스와 인터넷 사이에서 통신을 할 수 있게 해주는 구성요소 2. 트래픽 보호 리소스 = 공용리소스 + 내부 리소스 공격 표면을 줄이려면 모든인터넷 트래픽을 처리하는 ALB(Application Load Balancer) 등과 같은 프록시 서비스를 사용 할 수 있습니다. 그러면 서버 데이터 베이스 같은 모든 내부 서비스를 직접 공용 인터넷 액세스를 차단하는 내부 서브넷으로 프로비저닝 가능. 이 외 AWS WAF(Web Application Firewall) 이용해 트레픽을 추가 제한가능 |
||
성능효율성 | 온프레미스 모델방식에서 서버는 비싸고 수동 배포 및 구성 클라우드는 몇초내에 자동으로 프로비저닝 될 수 있는 상용 리소스, 서비스 작동에 필수적인 단일 서버는 없음. "소 모델" 1. 셀렉트: 프로비저닝 빠르고 저렴 워크로드와 가장 일치하는 서버 유형을 자유롭게 선택 2. 확장: 서비스 확장 편리 |
||
안정성 | 파급범위 고려 파급범위 : 시스템 장애 발생 시 지속될 수 있는 최대 영향. 파급범위 제한위한 기법 1. 장애 격리 : 중복된 독립구성요소 사용 문제의 파급범위 제한 : AWS 제공 : - 리소스 및 요청 : 셔플샤딩 과 같은 기법으로 파급범위 제한 - 가용 영역(Availability Zone) : 전용 전력, 서비스 및 네트워크 기능이 있는 완전한 독립적인 시설. 지리적 분리 - 리전 : 궁극적 격리 : 두개 이상의 AZ 로 구성 2. 한도 |
||
운영우수성 | 자동화를 통해 오류방지, 내부 프로세스 지속적 향상 1. IaC(Infrastructure as code, 코드형 인프라 스트럭처) : 구성파일 통해 인프라 관리, cloudFormation 서비스 사용 구현, json, yaml 로 리소스 구현. sdk 제공 2. 관찰기능 : 시스템 내부 분석 - 컬렉션, 분석 , 작업(모니터링 및 경보, 대시보드, 데이터 중심의 의사 결정) |
||
비용최적화 | 1. 자본 지출(CapEx), 대신 운영비용(OpEx)의 측면에서 클라우드 비용을 고려하는것이 유용 1. 사용량에 따라 지불 2. 비용 최족화 수명주기. |
프록시 서버 : 클라이언트가 자신을 통해 다른 네트워크 서비스에 간접적으로 접속할수 있게 해주는 컴퓨터 시스템, 응용프로그램.
데이터베이스 샤딩 : 하나의 거대한 데이터베이스 테이블을 수평분할하여 여러 개의 작은단위로 나눈 후 물리적으로 다른위치 분산하여 저장, 관리 기술.
멘탈 모델 : 사람들 입장
구현 모델 : 구현입장.
http://tobetong.com/?p=7001
'Cloud > AWS' 카테고리의 다른 글
[1028 aws] Awsome Day 20210930 (0) | 2021.09.30 |
---|---|
[1028web NETWORK] 네트워크 (0) | 2021.07.05 |
[1028web aws02] aws 계정 (0) | 2021.07.05 |