AWS 환경의 보안 범주
AWS 환경을 쓰면 On-Premise 환경과 다르게 AWS에서 관리하기 때문에 사용자가 접근할 수 없는 부분에 대한 보안 걱정과 궁금증이 생길 수 있다.
AWS는 이와 관련해 아래와 같이 AWS에서 관리하는 부분과 사용자가 관리해야 하는 부분을 명시하고 있으며, AWS가 관리하는 서비스에 대해 다양한 인증과 보안 패치 등을 수행하고 공시하고 있다.
172개 가량의 서비스에 대한 인증을 확인할 수 있으며, 해당 사이트에서 관련 자료를 확인할 수 있다.
국가 및 서비스 별 AWS 사용 규정 참고자료
각 국가 별로 보안에 대한 세부 규정과 인증 등이 다르고, 각 국가 내부에서도 서비스 (금융, 규모 등) 종류에 따라 다른 인증과 규제를 부여한다. (규제가 심한 중국의 경우 데이터의 물리적인 저장 공간을 중국 내로 분리해야 하는 경우가 종종 발생하고 네트워크에도 많은 제약이 있다.)
AWS에서는 이에 대한 규정과 사례를 모아 가이드 문서로 제공한다.
https://aws.amazon.com/ko/compliance/resources/
규정 준수 리소스 – Amazon Web Services(AWS)
위험 기반 접근 방식을 사용하여 클라우드에서 보안을 감사하는 모범 사례와 기술에 대해 알아봅니다.
aws.amazon.com
보안 및 취약점 관련 용어
보안 및 취약점 용어는 약어로 사용하는 경우가 많고, 용어가 비슷해 헷갈리기 쉬워 추가로 정리한다.
- CVE(Common Vulnerabilities and Exposures) : 공개적으로 알려진 컴퓨터 보안 결함 목록
- CVE-(연도)-(순서)로 넘버링됨
- 참고 : https://www.redhat.com/ko/topics/security/what-is-cve
- CWE(Common Weakness Enumeration) : 소프트웨어 취약점 목록으로, 소스코드 취약점을 정의한 데이터베이스
- CCE(common configuration enumeration) : 시스템의 취약한 구성 및 설정에 대한 목록
- CVSS(Common Vulnerability Scoring System) : 공통 취약점 등급 시스템, 취약점 위험도를 계산할 수 있는 개방형 프레임워크
- NVTs(Network Vulnerability Tests) : Greenbone(구 OpenVAS, 취약점 점검 도구)에서 사용하는 네트워크 취약점 테스트 모음 (네트워크 관련된 CVE를 포함)
- OWASP(The Open Web Application Security Project) : 오픈소스 웹 애플리케이션 보안 프로젝트
- OWASP TOP 10은 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 주기적으로 선정한 목록
- 참고 : https://owasp.org/www-project-top-ten/
- CIS(Center of Internet Security) Benchmark : CIS에서 시스템을 안전하게 구성하는 데 유용한 구성 기준과 모범 사례
- STIGs(Security Technical Implementation Guides) : 미국 국방성의 DISA(Defense Information Systems Agency)에서 작성한 구성 표준
