- Endpoints are URLs that serve as entry points for web services.
- Some services do not support regions (like IAM), so their endpoints do not include a region. But, some services (like US-West-2) do support regions.
- AWS offers Amazon Virtual Private Cloud (VPC) as a private network within the AWS Cloud that provides isolation from other customers and from the internet
- VPC allows you to allocate IP address spaces and build a private infrastructure with networks isolated from the internet.
- You can also connect your on-premises environment or other VPN infrastructures to VPC using IPSec tunnels and AWS Direct Connect.
- VPC allows resources to communicate with the internet if desired.
- VPC allows you to allocate IP address spaces and build a private infrastructure with networks isolated from the internet.
- Building a fort on a barren planet to protect themselves and the bees, and further isolating hives inside the fort itself is similar to the concept of isolating resources within a secure environment, such as Amazon VPC, to protect them from potential external threats.
- Network Isolation VPC
- the concept of Virtual Private Cloud (VPC) in AWS is a way to logically separate your AWS infrastructure from other customers.
- VPC is like creating a fort around your AWS account and isolating resources into hives, using subnets or logical subdivision of IPs.
- ex) EC2 instances are able to access the internet and be accessed from by putting them in a public subnet via Network Access Control Lists (NACLs), which are used to control inbound and outbound traffic at the subnet level.
- ex) EC2 instances are able to access the internet and be accessed from by putting them in a public subnet via Network Access Control Lists (NACLs), which are used to control inbound and outbound traffic at the subnet level.
- security groups
- act as firewalls for EC2 instances by controlling both inbound and outbound traffic at the instance level.
- This fine-grained access is defined by allow rules and looks
- act as firewalls for EC2 instances by controlling both inbound and outbound traffic at the instance level.
- the concept of Virtual Private Cloud (VPC) in AWS is a way to logically separate your AWS infrastructure from other customers.
- how to secure traffic between VPCs in AWS using VPC endpoints and route tables?
- further secure communication between Virtual Private Clouds (VPCs) in AWS
- It compares the traditional method of sending traffic between VPCs through the internet with the use of private links, which allow for direct communication between VPCs within the AWS infrastructure, resulting in a safer path of travel for data.
- the concept of route tables in VPCs
- route tables contain rules or routes used to determine where network traffic is directed, and the option to create custom route tables for routing traffic according to specific requirements.
- It compares the traditional method of sending traffic between VPCs through the internet with the use of private links, which allow for direct communication between VPCs within the AWS infrastructure, resulting in a safer path of travel for data.
- further secure communication between Virtual Private Clouds (VPCs) in AWS
- Detective controls: 감사(auditing), 자동화된 분석, 경보를 가능하게 하는 사건 모니터링 및 블록 처리의 지속적인 개선
- 잠재적인 보안 위협 또는 사건을 식별할 수 있는 능력 향상
- governance frameworks에 필수적
- 법이나 compliance 준수 의무, 보안 작업 등의 개선을 지원
- 잠재적인 보안 위협 또는 사건을 식별할 수 있는 능력 향상
- Different types of detective controls
- 자산 인벤토리의 작성(conducting an inventory of AWS resources)
- 내부 감사(internal auditing)
- 정보 시스템과 관련된 제어가 정책 및 요구사항 충족하는지 검사
- 자산 인벤토리의 작성(conducting an inventory of AWS resources)
- 이상 활동 범위를 식별하고 이해하는데 도움이 됨
- AWS infrastructure의 보안 및 compliance를 향상시키는 AWS services (일부는 무료, 일부는 유료)
- AWS CloudTrail: AWS infrastructure와 interact 하는 사람 추적 가능 (잘못된 변경/데이터 유출 추적에 도움)
- AWS Config: configuration 관리 및 변경 기록, 모든 실제 config 세부 사항의 inventory 제공
- AWS Inspector: 자동 보안 평가 실행
- deploy된 applications의 보안 및 compliance를 향상시키기 위해, best practies와의 차이, EC2 instances의 노출, 취약점 등을 체크
- deploy된 applications의 보안 및 compliance를 향상시키기 위해, best practies와의 차이, EC2 instances의 노출, 취약점 등을 체크
- Trusted Advisor
- AWS resources의 프로비저닝 보조 - best practices를 사용해서 리포트 제공
- 리포트 항목: 비용 최적화, 성능, 보안, 장애 허용 정도, 서비스 제한
- 조사 또는 실행을 위해, 심각한 수준(녹색,주황,적색)에 따라 권장 사항 제공
- 리포트 항목: 비용 최적화, 성능, 보안, 장애 허용 정도, 서비스 제한
- Security section: S3 bucket의 권한, 보안 그룹, IAM 사용, root 계정의 MFA, 노출된 access keys, IAM 비밀번호 정책 등을 스캔
- AWS resources의 프로비저닝 보조 - best practices를 사용해서 리포트 제공
- AWS CloudTrail: AWS infrastructure와 interact 하는 사람 추적 가능 (잘못된 변경/데이터 유출 추적에 도움)
- Monitoring: Infrastructure와 관련된 데이터와 통계를 수집, 추적, 표시하는 과정
- AWS의 CloudWatch: metrics repository역할 - repository에 넣은 metrics 기반으로 통계 검색
- 사용자가 정한 threshold를 넘었을때 경보 생성 가능
- 특정 기간 동안 하나의 metric을 감시 → threshold와 비교한 metric의 상대적인 값에 따라 하나 이상의 특정 action 수행 가능
- 사용자가 정한 threshold를 넘었을때 경보 생성 가능
- CloudWatch Logs: 여러 resources의 log files을 모니터링, 저장, 접근 가능한 tool
- application, 서버 OS의 로그 수집 및 저장
- CloudTrail 사용해서 API activity 수집
- Amazon Route 53(Amazon의 DNS 웹 서비스)의 DNS queries를 기록
- S3의 로그 데이터 저장
- application, 서버 OS의 로그 수집 및 저장
- CloudWatch Logs Insights: 로그 데이터를 interactive하게 검색하고 분석
- Amazon GuardDuty: 위협 감지 서비스
- AWS 계정 및 리소스에 대한 허가되지 않거나 악성인 행동들을 계속 모니터링
- 머신 러닝, 이상 감지, integrated threat intelligence를 사용해서 잠재적인 위협을 식별하고 우선 순위를 정함
- 여러 AWS data resources에서 수백억건의 사건 분석
- 잠재적인 위협을 세 단계(low, medium, high) 심각 수준으로 나눠서 대응 우선순위 결정
- HTTPs API, CLI tools, Amazon CloudWatch events를 제공해서 보안 관련 발견에 대한 자동화된 보안 제공 지원
- AWS 계정 및 리소스에 대한 허가되지 않거나 악성인 행동들을 계속 모니터링
- Security Hub: 여러 AWS service의 보안 경고나 발견을 모으고, 정리하고, 우선 순위를 정함 → 통합 dashboards에서 시각화 요약 제공
- AWS best practies 및 업계 표준을 기반으로, compliance check 자동화를 통해 환경을 지속적으로 모니터링할 수 있도록 함
1 Network Isolation
AWS has implemented network isolation through a limited number of access points to the cloud, allowing for comprehensive monitoring of inbound and outbound communications and network traffic.
힌트
inbound and outbound communications involve observing and analyzing the data and traffic that is entering or leaving the AWS network to ensure security and compliance.