Zero Trust

Zero Trust는 “항상 검증하고, 절대 신뢰하지 않는다”는 보안 모델로, 네트워크 내부와 외부 모두를 신뢰하지 않고 모든 접근 요청을 검증합니다.

 

핵심 원칙

  • 모든 요청 검증: 사용자, 디바이스, 위치 등을 확인 후 승인.
  • 최소 권한: 필요한 리소스에 최소한의 접근 권한만 부여.
  • 지속적 모니터링: 모든 활동과 트래픽을 실시간 검증.

구성 요소

  • MFA: 다단계 인증으로 보안 강화.
  • 정책 기반 접근: 사용자 조건에 따른 세분화된 제어.
  • 암호화 통신: 데이터 보호와 무단 액세스 방지.

Control Tower

다중 계정 환경의 표준화와 중앙 관리를 지원하는 서비스로, AWS Organizations와 통합하여 계정 생성, 보안 정책 적용, 규정 준수 모니터링을 자동화합니다. Audit 및 Log Archive 계정과 Guardrails(보안 규칙)를 통해 보안과 규정 준수를 강화하며, Account Factory로 계정을 효율적으로 생성 및 관리할 수 있습니다.

랜딩존 설정
Control Tower로 설정된 조직

Okta

클라우드 기반의 ID 및 액세스 관리(IAM) 솔루션으로, SSO(Single Sign-On) 및 MFA(Multi-Factor Authentication)와 같은 보안 기능을 제공하여 사용자의 ID 및 자격 증명 관리를 단순화하고 강화합니다. Okta는 조직의 모든 애플리케이션, 사용자 및 장치 간의 안전한 인증 및 권한 부여를 보장하는 데 주력합니다.

Identity Center를 Okta로 연결
Okta 통해 사용자 관리
Okta 통한 Group 관리
AWS SSO가 아닌 Okta를 통한 접근

Control Tower & Okta

Control Tower와 Okta를 함께 관리하면 다음과 같은 장점이 있다.

  • AWS 계정 접근 보안 강화: Okta를 AWS Identity Center(AWS SSO)와 연동하면 AWS 계정 접근 시 SSO 및 MFA를 통해 보안성 강화.
  • 사용자 및 계정 관리 자동화: Control Tower가 AWS 계정을 생성 및 관리하고, Okta가 사용자 인증과 접근 제어를 처리하여 계정 생성부터 접근 관리까지 완전 자동화를 구현.
  • Zero Trust 모델 적용: Okta의 Zero Trust 보안 정책을 사용해 AWS 계정 접근을 위치, 디바이스 상태, 사용자 역할에 따라 세부적으로 제어.
  • 다중 애플리케이션 통합: Okta를 통해 AWS뿐 아니라 다른 SaaS 애플리케이션(예: Google Workspace, Salesforce 등)도 통합 관리 가능, 중앙화된 사용자 경험 제공.
  • 감사 및 규정 준수: Control Tower는 AWS 리소스의 보안 및 규정 준수를 관리하고, Okta는 사용자 인증 및 접근 로그를 기록해 전반적인 보안 및 규정 준수 요구사항을 충족.

Cloudflare

전 세계적으로 사용되는 웹 성능 및 보안 플랫폼으로, 웹사이트 및 인터넷 애플리케이션의 성능을 최적화하고 보안을 강화하는 데 중점을 두고 있습니다. 이 플랫폼은 콘텐츠 배포 네트워크(CDN), DDoS, DNS 관리, SSL/TLS 암호화, WAF 등을 포함하여 다양한 기능을 제공합니다.

Route53에서 네임 서버 변경
Cloudfare DNS로 웹서버 연결

  • 모든 요청을 HTTPS로 리디렉션하여 암호화 연결 보장

WAF 적용

  • WAF를 통해 XSS공격에 대한 방어 설정, 이외에도 다양한 규칙을 적용하여 다양한 공격에 대한 차단, CAPTCHA등의 대응 가능

XSS 공격 차단 기록

Cloudflare vs Route53, WAF

웹사이트 및 클라우드 리소스 관리에서 가장 널리 사용되는 Cloudflare, AWS Route 53, WAF를 대상으로 각 서비스의 특징과 장단점을 분석한 것입니다. Cloudflare는 웹 보안과 성능 최적화에 강점이 있는 반면, Route 53은 AWS 리소스 통합 및 DNS 라우팅에서 탁월하며, WAF는 애플리케이션 보안에 특화되어 있습니다.

기능 Cloudflare Route 53 WAF
역할 DNS 관리, 웹 보안, 성능 최적화와 보안(CDN, DDoS 방어, WAF). 고가용성 DNS 서비스 및AWS 리소스 통합. 애플리케이션 계층(HTTP/HTTPS)에서 악성 요청 감지 및 차단.
장점 - 빠르고 안정적인 DNS 서비스.
- CDN  DDoS 방어로 웹 성능과 보안 강화.
- WAF HTTPS 지원.		 - AWS 서비스와 긴밀하게 통합.
- 복잡한 라우팅 정책 지원(가중치 기반, 지리적 라우팅).		 - OWASP Top 10 취약점 방어.
- 애플리케이션 중심 보안.
단점 - AWS와의 통합 부족.
- 복잡한 라우팅 정책에 제약.		 - 보안 기능 부족(DDoS 방어 및 WAF는 별도 설정 필요). - WAF만 제공하므로 다른 보안 기능은 별도로 구성해야 함.
- 글로벌 네트워크 지원 부족.

'Cloud' 카테고리의 다른 글

Terraform과 Github Actions 활용한 자산식별, ISMS-P, 배포 자동화  (4) 2024.11.13
AWS 3-Tier Architecture 설계  (1) 2024.11.13
AWS 기본 아키텍처 설계  (1) 2024.11.13
온프레미스와 클라우드  (2) 2024.11.12
클라우드 보안  (5) 2024.11.12

+ Recent posts

티스토리툴바