【세션 레포트】AWS에서 제로 트러스트를 실현하기 위한 어프로치(AWS-39) #AWSSummit

2023.04.21

들어가기에 앞서

안녕하세요, AWS Summit Tokyo 2023에서 참가한 세션의 내용을 블로그를 통해 공유하고자 합니다.

본 글은 세션 AWS-39 「AWSでゼロトラストを実験するためのアプローチ」의 내용을 번역하여 정리한 글입니다.

세션 개요

대상자

  • AWS의 제로 트러스트에 관해 관심을 갖고 계신 분
  • 네트워크와 아이덴티티를 조합하여, 통합적으로 보안성을 높이고 싶은 분
  • AWS의 기본적인 엑세스 제어 방식에 대해 이해하고 계신 분

Key takeaways

  • AWS에서의 제로 트러스트 컨셉
  • 주목해야할 유스 케이스와 과제
  • 도움이 되는 AWS Building Block

아젠다

  • 제로 트러스트를 요구하는 이유
  • 제로 트러스트 아키텍쳐를 구축하기 위한 접근법(AWS Zero Trust Guiding principle)
  • AWS의 제로 트러스트를 위한 어프로치(Zero Trust "of" the Cloud)
  • Building Block로 실현하는 제로 트러스트 아키텍처(Zero Trust "in" the Cloud)

세션 레포트

제로 트러스트를 요구하는 이유

  • 비즈니스와 보안의 양립과 실현의 이상
    • 데이터나 시스템에 대해서 적절한 보안성을 유지할 수 있고, 필요에 따라 간단하게 이용할 수 있어야함
  • 기업 시스템을 둘러싼 환경 변화와 보안
    • 동작 방식의 다양성과 콜라보레이션에 대해 고려해야함
      • 엑세스 경로의 다양성과 원격 엑세스 등 네트워크 경계의 구분이 어려워지고 있다
    • 데이터 보호에 대한 높아진 요구사항과 어프로치의 변화
      • 내부에도 위협이 있다는 것을 전제로 해야한다
    • DX(Digital Transformation)
      • 기업 네트워크 네트워크를 넘어서, 사람과 물건의 연결하여 새로운 가치를 창출함
  • Zero trust란?
    • Zero trust를 구현하기 위해 데이터, 워크로드 등 많은 부분에 대해 보안 통제가 필요함
    • 한 가지가 아닌 전체적인 부분에 대해 신경 쓰는 것이 중요
  • AWS가 생각하는 Zero trust
    • 보안을 위한 관리책을 제공하기 위한 컨셉 모델과 그것과 관련한 일련의 메커니즘
    • 전통적인 네트워크 경계만을 생각하는 것이 아닌, 아이덴티티 경계와의 조합을 고려

제로 트러스트 아키텍쳐를 구축하기 위한 접근법(AWS Zero Trust Guiding principle)

  • "Zero trust" 이전의 네트워크 경계 방어
    • 경계 밖: IP 주소를 기반으로한 신뢰할 수 있는 '네트워크 장소'에서의 접속만 허가
    • 경계 안: 상대방을 암묵적으로 신뢰하고 있으며, 수평이동 하기 쉽고 영향 범위를 제한하기 어려움
  • AWS 서비스 간의 상호 작용에 의한 아이덴티티 중심의 제어
    • 예로 Auto Scailing 이 동작하기 전에, API 호출을 통해서 assume Role이나 인증/인가 등이 이루어 지는 것
  • AWS Zero Trust Guiding principle
    • 다음과 같은 주요 내용을 말하고 있음
      • 네트워크와 아이덴티티를 조합해서 보안성을 높여 가는 것
      • 유스 케이스에 중점을 두고 생각하자는 것
        • 기술적인 원리 원칙은 같음
        • 해결하고 싶은 과제에 대해 역으로 생각해보기
        • 고부가가치 논점으로 바라보기
      • 획일적이 아닌, 시스템과 데이터의 가치를 고려하는 것
        • 보호하고 싶은 데이터나 시스템의 특징을 파악
        • '획일적'이 아닌 대상에 따라 '적합한' 방식을 모색

AWS의 제로 트러스트를 위한 어프로치(Zero Trust "of" the Cloud)

  • Zero Trust는 '여정'과도 같다
    • 과제나 나아가야할 방향을 정한 후 실현해 나아가야한다
  • 보호되고 있는 어플리케이션으로의 용의한 액세스
    • 제로 트러스트 네트워크 엑세스로 원격 액세스 체험을 개선
      • 예를 들어, VPN 없이도 어디에서나 이용하는 것
  • 보다 간단하게 안전한 접속 요구를 높일 수 있는 것
    • 온프레미스 환경을 경유하는 경우, AWS Direct Connect, AWS Site-to-Site VPN
    • VPN을 사용한 다이렉트 접속의 경우, AWS Client VPN
    • Seamless 접속과 섬세한 접속 제어의 양립의 경우, 어플리케이션과 세션 단위의 제어

Building Block로 실현하는 제로 트러스트 아키텍처(Zero Trust "in" the Cloud)

  • AWS Verified Access
    • 다양한 곳에서 Seamless한 접속이 가능
    • 유저와 디바이스에 기반한 엑세스 제어
    • 간단하게 보안 운용이 가능
  • 컴퍼넌트 간의 흐름에 대한 액세스 제어
    • 불필요한 네트워크이 수평 이동 방지
    • Security group, IAM Role, VPC Endpoint 등 베이직한 방법을 사용하여 제어
      • Security group: 네트워크 경계를 중심으로한 제어
      • IAM Role: 아이덴티티를 중심으로한 제어
      • VPC Endpoint: 네트워크 경계와 아이덴티티를 조합한 단방향 액세스
  • 고가용성과 아이덴티티 중심의 기반을 지지할 수 있는 환경과 구성에 의존하지 않는 보안감시 감시
    • 제로 트러스트를 구축한 환경이라도, 스위치를 온 한 것만으로도 보안 감시를 시작할 수 있는 것
  • Amazon VPC Lattice
    • 방대해진 규모도 간단하게 관리 가능
    • 가시화와 고도해진 트래픽 제어
  • 이러한 제로 트러스트의 구현을 기업 네트워크 밖의 IoT 워크로드에도 적용
    • 여러 장소에서의 인증과 암호화를 실현
    • 모던한 아키턱쳐를 모든 장소, 물건에 넓혀갈 수 있음

참가 후기

제로 트러스트에 대해서는 막연하게나마 생각하고 있었는데, AWS 환경에서의 제로 트러스트에 대해 다시 한 번 생각해보게 되는 세션이었습니다.

그리고 본 세션을 통해서 제로 트러스트를 구현하기 위해 고려해야할 사항, 사용할 수 있는 AWS 서비스 등에 대해 배울 수 있었습니다. 하지만 아직 관련 서비스를 사용해보지 못했기 때문에 어서 빨리 사용해서 AWS 환경에서의 제로 트러스트를 직접 구현해보고 싶어졌습니다!