AWS 보안

1장 AWS 보안 소개
1.1 공동 책임 모델
____1.1.1 AWS의 책임
____1.1.2 고객의 책임
1.2 클라우드 네이티브 보안 도구
____1.2.1 IAM
____1.2.2 VPC
____1.2.3 그 외 보안 도구
1.3 새로운 운영 방식
____1.3.1 인프라 개발 속도
____1.3.2 책임 이동
1.4 결론
요약

2장 IAM
2.1 IAM 기초
____2.1.1 사용자
____2.1.2 ID 정책
____2.1.3 리소스 정책
____2.1.4 그룹
____2.1.5 역할
2.2 AWS IAM에서 일반적인 패턴 사용
____2.2.1 AWS 관리형 정책
____2.2.2 고급 패턴
2.3 태그를 사용한 속성 기반 접근 제어
____2.3.1 태그가 지정된 리소스
____2.3.2 태그가 지정된 보안 주체
요약

3장 계정 관리
3.1 멀티 계정 간의 접근 보안
____3.1.1 계정 간의 보이지 않는 벽
____3.1.2 교차계정 IAM 역할
____3.1.3 AWS organizations를 통한 멀티 계정 관리
3.2 기존 접근관리시스템과의 통합
____3.2.1 Active Directory 및 다른 SAML 시스템과의 통합
____3.2.2 OpenID Connect 시스템과의 통합
요약

4장 안전한 접근을 위한 정책 및 절차
4.1 IAM 모범 사례 수립
____4.1.1 모범 사례를 만드는 이유는 무엇인가?
____4.1.2 모범 사례 예: MFA
____4.1.3 강제 적용 가능한 모범 사례
4.2 최소 권한 접근 제어 적용
____4.2.1 최소 권한 원칙이 어려운 이유
____4.2.2 와일드카드 정책
____4.2.3 AWS 관리형 정책
____4.2.4 공유 권한(그룹 및 관리형 정책)
4.3 단기 및 장기 자격증명 선택
____4.3.1 수명이 긴 자격증명의 위험
____4.3.2 자격증명 교체와 관련된 장단점
____4.3.3 IAM 역할의 균형
4.4 IAM 권한 검토
____4.4.1 IAM 리소스를 검토해야 하는 이유
____4.4.2 검토 유형
____4.4.3 검토 부담 경감
요약

5장 네트워크 보안: VPC
5.1 가상 프라이빗 클라우드 작업
____5.1.1 VPC
____5.1.2 서브넷
____5.1.3 네트워크 인터페이스 및 IP
____5.1.4 인터넷 및 NAT 게이트웨이
5.2 트래픽 라우팅 및 가상 방화벽
____5.2.1 라우팅 테이블
____5.2.2 보안 그룹
____5.2.3 네트워크 ACL
5.3 프라이빗 네트워크 분리
____5.3.1 네트워크 격리를 위한 멀티 VPC 사용
____5.3.2 VPC 간 연결
____5.3.3 프라이빗 네트워크에 VPC 연결
요약

6장 VPC를 넘어서는 네트워크 접근 보호
6.1 VPC 엔드포인트와 PrivateLink를 통한 서비스에 대한 접근 보안
____6.1.1 퍼블릭 트래픽의 문제점은 무엇인가?
____6.1.2 VPC 엔드포인트 사용
____6.1.3 PrivateLink 서비스 생성
6.2 AWS 웹 애플리케이션 방화벽으로 악성 트래픽 차단
____6.2.1 WAF 관리형 규칙 사용
____6.2.2 사용자 지정 AWS WAF 규칙으로 실제 공격 차단
____6.2.3 AWS WAF를 사용하는 경우
6.3 AWS Shield를 사용해 분산 서비스 거부 공격으로부터 보호
____6.3.1 Shield Standard를 통한 무료 보호 서비스
____6.3.2 Shield Advanced를 통한 보호 강화
6.4 제휴 공급사 방화벽과의 통합
____6.4.1 웹 애플리케이션 및 차세대 방화벽
____6.4.2 AWS Marketplace에서 방화벽 설정
연습문제에 대한 해답
요약

7장 클라우드에서의 데이터 보호
7.1 데이터 보안 문제
____7.1.1 기밀성
____7.1.2 데이터 무결성
____7.1.3 심층 방어
7.2 저장 데이터 보안
____7.2.1 저장 데이터 암호화
____7.2.2 최소 권한 접근 제어
____7.2.3 백업 및 버전 관리
7.3 전송 데이터 보안
____7.3.1 데이터 전송을 위한 보안 프로토콜
____7.3.2 보안 전송 강제 적용
7.4 데이터 접근 로깅
____7.4.1 Amazon S3에 대한 접근 로깅
____7.4.2 리소스 접근에 대한 CloudTrail 로그
____7.4.3 네트워크 접근에 대한 VPC Flow Logs
7.5 데이터 분류
____7.5.1 Amazon Macie로 민감한 데이터 식별
연습문제에 대한 해답
요약

8장 로깅 및 감사 추적
8.1 관리 이벤트 기록
____8.1.1 CloudTrail 설정
____8.1.2 CloudTrail 로그를 통한 이슈 조사
8.2 리소스 구성 변경 추적
____8.2.1 구성 타임라인으로 변경 사항 파악
____8.2.2 AWS Config 설정
____8.2.3 리소스 규정 준수 정보
8.3 애플리케이션 로그 중앙 집중화
____8.3.1 CloudWatch Logs 기본
____8.3.2 CloutWatch 에이전트
____8.3.3 고급 CloudWatch Logs 기능
____8.3.4 네트워크 트래픽 기록
요약

9장 지속적인 모니터링
9.1 리소스 구성 스캐닝
____9.1.1 애드혹 스캐닝
____9.1.2 지속적인 모니터링
____9.1.3 규정 준수 표준 및 벤치마크
9.2 호스트 취약점 스캐닝
____9.2.1 호스트 취약점 유형
____9.2.2 호스트 스캐닝 도구
9.3 로그에서 위협 탐지
____9.3.1 VPC Flow Logs에서 위협 탐지
____9.3.2 CloudTrail 로그에서 위협 탐지
요약

10장 사고 대응 및 복원
10.1 보안 이벤트 추적
____10.1.1 경고 중앙 집중화
____10.1.2 상태 추적
____10.1.3 데이터 분석
10.2 사고 대응 계획
____10.2.1 플레이북
10.3 사고 대응 자동화
____10.3.1 플레이북 스크립팅
____10.3.2 자동화된 대응
연습문제에 대한 해답
요약

11장 실제 애플리케이션 보안
11.1 샘플 애플리케이션
____11.1.1 샘플 애플리케이션에 대한 세부 정보
____11.1.2 위협 모델링
11.2 강력한 인증 및 접근 제어
____11.2.1 크리덴셜 스터핑
____11.2.2 무차별 대입
____11.2.3 과도한 허용 정책 및 잘못된 권한 설정
____11.2.4 부주의한 관리자 또는 루트 액세스
11.3 데이터 보호
____11.3.1 데이터 분류
____11.3.2 매우 민감한 데이터
____11.3.3 민감한 데이터
____11.3.4 공개 데이터
11.4 웹 애플리케이션 방화벽
____11.4.1 크로스 사이트 스크립팅
____11.4.2 인젝션 공격
____11.4.3 스크래핑
11.5 인증 및 권한 부여 구현의 시작과 끝
____11.5.1 Cognito 설정
____11.5.2 API Gateway 엔드포인트 보안
요약