jyamethyst21 님의 블로그
클라우드 보안 본문
1. AWS Lambda
정의
: 서버리스(Serverless) 애플리케이션 실행 서비스로, 서버 인프라를 직접 만들고 운영하지 않고도 코드를 실행할 수 있는 서비스
기본 개념
- 사용자는 함수 코드 + 실행 환경(런타임) + 권한(IAM 역할)을 준비하면 됨
- 이벤트 소스(AWS 서비스 등)가 발생하면 Lambda가 실행
- 지원 런타임(예: Python, Java, .NET, Node.js, Go, Ruby 등)
핵심 포인트
- 서버리스는 서버가 없는 게 아니라, 서버 운영(패치/확장/장애대응)을 AWS가 대신해준다는 의미
- Lambda는 보통 아래 조합으로 많이 씀
- S3 업로드 이벤트 → Lambda 실행 → 썸네일 생성/가공 → 다른 S3에 저장
- 보안/권한 관점에서 Lambda는 반드시 IAM Role(실행 역할)을 통해 필요한 권한만 부여하는 게 핵심
2. AWS 컨테이너 서비스
정의
: 애플리케이션을 컨테이너 단위로 패키징해서, 배포/확장/운영을 쉽게 하는 AWS의 관리형 컨테이너 실행·오케스트레이션 서비스
기본 개념
- 컨테이너는 애플리케이션 실행에 필요한 구성요소를 묶어 동일한 방식으로 실행되도록 해줌
- 컨테이너 운영에는 보통 아래 요소가 필요
- 컨테이너 실행(컴퓨팅)
- 이미지 저장소(레지스트리)
- 배포/스케일링/모니터링 같은 관리 자동화(오케스트레이션)
VM vs 컨테이너 차이
- VM: OS까지 통째로 포함(무겁지만 완전 격리)
- 컨테이너: 호스트 OS 공유(가볍고 배포 빠름)
3. 프라이빗 네트워크 옵션
정의
: 인터넷을 거치지 않거나(또는 최소화하거나) 사설 네트워크 경로로 AWS 자원에 접근하기 위한 연결 옵션들
기본 개념
- 실무에서 보안과 운영 안정성 때문에
- 온프레미스 ↔ AWS 연결
- VPC 내부에서 AWS 서비스(S3 등) 사설 접근
같은 요구가 자주 생김
4. AWS VPN (Virtual Private Network)
정의
: AWS 클라우드와 온프레미스 사이를 암호화된 터널로 연결하는 방식
기본 개념
- 인터넷 구간을 사용하지만 암호화(보안 연결)로 보호
- 비교적 빠르게 구축 가능(전용선 대비)
5. AWS Direct Connect
정의
: AWS 클라우드와 온프레미스 사이를 전용선으로 연결하는 방식
기본 개념
- 인터넷이 아니라 전용 회선 기반
- 안정적인 대역폭/지연시간/품질을 기대할 수 있음
VPN vs Direct Connect
- 신속/저렴/간단이면 VPN
- 대역폭/품질/안정성이 중요하면 Direct Connect
6. VPC Endpoint
정의
: VPC 내부(프라이빗 서브넷 포함)에서 인터넷/NAT 없이 AWS 서비스(S3 등)에 사설 경로로 접근하게 해주는 기능
기본 개념
- 프라이빗 서브넷의 인스턴스가 S3에 접근하려면 보통 NAT/IGW 경로가 필요
- VPC Endpoint를 쓰면 사설 라우팅으로 AWS 서비스 연결이 가능
왜 보안적으로 좋은가?
- 외부 인터넷으로 나가지 않으니 공격면(노출면)이 줄어듦
- 프라이빗 노드가 S3를 써야 하는데 인터넷은 막고 싶다면 자주 쓰임
7. Bastion Host(점프 서버) 맥락
정의
: 외부에서 바로 프라이빗 리소스에 붙지 않고, 중간 관문 서버를 통해 내부로 들어가게 하는 방식
기본 개념
- Public Subnet의 Bastion에 접속 → Private Subnet 자원(예: EC2)로 이동
- 접근 통제(보안그룹, 키 관리) 포인트를 관문에 집중
8. 모니터링(Monitoring)
정의
: 장애를 미리 방지하고 사고에 신속 대응하기 위해 서비스 상태/지표를 지속 관찰하는 것
기본 개념
- 정상 상태를 수치/로그로 정의하고, 이상 징후를 알람으로 받아 대응하는 흐름
9. 보안의 3요소 (CIA)
정의
: 보안을 구성하는 핵심 3요소 = 기밀성(Confidentiality) / 무결성(Integrity) / 가용성(Availability)
기본 개념
- 기밀성: 인가된 사용자만 접근
- 무결성: 데이터 위·변조 방지
- 가용성: 필요한 때 서비스 사용 가능
10. Amazon CloudWatch
정의
: AWS 리소스와 애플리케이션의 지표(Metrics), 로그(Logs), 알람(Alarm) 기반 모니터링 서비스
기본 개념
- 지표 수집 → 시각화/대시보드 → 임계치 알람 → 알림/자동조치(연계)
CloudWatch에서 로그 핵심?
- EC2 애플리케이션 로그, VPC 흐름로그, CloudTrail 등 다양한 로그를 CloudWatch Logs로 모아 거의 실시간 모니터링/알람 연계 가능
11. Amazon CloudTrail
정의
: AWS 계정에서 발생한 API 호출/행위(누가, 언제, 무엇을 했는지)를 기록하는 감사(Audit) 로그 서비스
기본 개념
운영/보안 사고에서 가장 중요한 질문
- 누가 / 어떤 자격으로 / 언제 / 무슨 작업을 했나?
- CloudTrail은 이걸 이벤트 로그로 남김
12. VPC 흐름 로그
정의
: VPC 내부의 네트워크 트래픽 흐름을 기록하는 로그
기본 개념
- Subnet/ENI 단위로 활성화 가능
- 로그 저장 위치를 S3 또는 CloudWatch Logs 중 선택
- 필드 예시: account-id, src/dst addr, src/dst port, packets, bytes, action(ACCEPT/REJECT)
13. S3 액세스 로그
정의
: S3 버킷에 들어온 요청(접근/작업)에 대한 상세 기록 로그
기본 개념
- 보안/감사, 고객 사용 패턴 이해에 유용
- 활성화가 필요하다고 명시
- 로그 필드 예: 버킷/소유자/요청시간/원격IP/요청자/작업/객체키/처리시간 등
14. ELB 액세스 로그
정의
: 로드밸런서로 들어오는 요청에 대한 상세 기록 로그
기본 개념
- 트래픽 패턴 분석/장애 해결에 유용
- 활성화 필요
- 로그 필드 예: 요청 시간, 클라이언트 IP, 지연시간, 요청 경로 등
15. AMI Baking
정의
: 보안 요구사항에 맞춰 필요한 설정/패치가 반영된 AMI를 만들어 배포 표준으로 사용하는 방식
기본 개념
- 보안 규정 요구사항에 맞는 내용으로 AMI 생성
- 민감정보 포함 여부 점검
종류
- Full Baking
- Half Baking
- Raw Baking