들어가기에 앞서

안녕하세요, AWS Summit Tokyo 2023에서 참가한 세션의 내용을 블로그를 통해 공유하고자 합니다.

본 글은 세션 AWS-39 「AWSでゼロトラストを実験するためのアプローチ」의 내용을 번역하여 정리한 글입니다.

세션 개요

대상자

• AWS의 제로 트러스트에 관해 관심을 갖고 계신 분
• 네트워크와 아이덴티티를 조합하여, 통합적으로 보안성을 높이고 싶은 분
• AWS의 기본적인 엑세스 제어 방식에 대해 이해하고 계신 분

Key takeaways

• AWS에서의 제로 트러스트 컨셉
• 주목해야할 유스 케이스와 과제
• 도움이 되는 AWS Building Block

아젠다

• 제로 트러스트를 요구하는 이유
• 제로 트러스트 아키텍쳐를 구축하기 위한 접근법(AWS Zero Trust Guiding principle)
• AWS의 제로 트러스트를 위한 어프로치(Zero Trust "of" the Cloud)
• Building Block로 실현하는 제로 트러스트 아키텍처(Zero Trust "in" the Cloud)

세션 레포트

제로 트러스트를 요구하는 이유

• 비즈니스와 보안의 양립과 실현의 이상
  • 데이터나 시스템에 대해서 적절한 보안성을 유지할 수 있고, 필요에 따라 간단하게 이용할 수 있어야함
• 기업 시스템을 둘러싼 환경 변화와 보안
  • 동작 방식의 다양성과 콜라보레이션에 대해 고려해야함
    • 엑세스 경로의 다양성과 원격 엑세스 등 네트워크 경계의 구분이 어려워지고 있다
  • 데이터 보호에 대한 높아진 요구사항과 어프로치의 변화
    • 내부에도 위협이 있다는 것을 전제로 해야한다
  • DX(Digital Transformation)
    • 기업 네트워크 네트워크를 넘어서, 사람과 물건의 연결하여 새로운 가치를 창출함
• Zero trust란?
  • Zero trust를 구현하기 위해 데이터, 워크로드 등 많은 부분에 대해 보안 통제가 필요함
  • 한 가지가 아닌 전체적인 부분에 대해 신경 쓰는 것이 중요
• AWS가 생각하는 Zero trust
  • 보안을 위한 관리책을 제공하기 위한 컨셉 모델과 그것과 관련한 일련의 메커니즘
  • 전통적인 네트워크 경계만을 생각하는 것이 아닌, 아이덴티티 경계와의 조합을 고려

제로 트러스트 아키텍쳐를 구축하기 위한 접근법(AWS Zero Trust Guiding principle)

• "Zero trust" 이전의 네트워크 경계 방어
  • 경계 밖: IP 주소를 기반으로한 신뢰할 수 있는 '네트워크 장소'에서의 접속만 허가
  • 경계 안: 상대방을 암묵적으로 신뢰하고 있으며, 수평이동 하기 쉽고 영향 범위를 제한하기 어려움
• AWS 서비스 간의 상호 작용에 의한 아이덴티티 중심의 제어
  • 예로 Auto Scailing 이 동작하기 전에, API 호출을 통해서 assume Role이나 인증/인가 등이 이루어 지는 것
• AWS Zero Trust Guiding principle
  • 다음과 같은 주요 내용을 말하고 있음
    • 네트워크와 아이덴티티를 조합해서 보안성을 높여 가는 것
    • 유스 케이스에 중점을 두고 생각하자는 것
      • 기술적인 원리 원칙은 같음
      • 해결하고 싶은 과제에 대해 역으로 생각해보기
      • 고부가가치 논점으로 바라보기
    • 획일적이 아닌, 시스템과 데이터의 가치를 고려하는 것
      • 보호하고 싶은 데이터나 시스템의 특징을 파악
      • '획일적'이 아닌 대상에 따라 '적합한' 방식을 모색

AWS의 제로 트러스트를 위한 어프로치(Zero Trust "of" the Cloud)

• Zero Trust는 '여정'과도 같다
  • 과제나 나아가야할 방향을 정한 후 실현해 나아가야한다
• 보호되고 있는 어플리케이션으로의 용의한 액세스
  • 제로 트러스트 네트워크 엑세스로 원격 액세스 체험을 개선
    • 예를 들어, VPN 없이도 어디에서나 이용하는 것
• 보다 간단하게 안전한 접속 요구를 높일 수 있는 것
  • 온프레미스 환경을 경유하는 경우, AWS Direct Connect, AWS Site-to-Site VPN
  • VPN을 사용한 다이렉트 접속의 경우, AWS Client VPN
  • Seamless 접속과 섬세한 접속 제어의 양립의 경우, 어플리케이션과 세션 단위의 제어

Building Block로 실현하는 제로 트러스트 아키텍처(Zero Trust "in" the Cloud)

• AWS Verified Access
  • 다양한 곳에서 Seamless한 접속이 가능
  • 유저와 디바이스에 기반한 엑세스 제어
  • 간단하게 보안 운용이 가능
• 컴퍼넌트 간의 흐름에 대한 액세스 제어
  • 불필요한 네트워크이 수평 이동 방지
  • Security group, IAM Role, VPC Endpoint 등 베이직한 방법을 사용하여 제어
    • Security group: 네트워크 경계를 중심으로한 제어
    • IAM Role: 아이덴티티를 중심으로한 제어
    • VPC Endpoint: 네트워크 경계와 아이덴티티를 조합한 단방향 액세스
• 고가용성과 아이덴티티 중심의 기반을 지지할 수 있는 환경과 구성에 의존하지 않는 보안감시 감시
  • 제로 트러스트를 구축한 환경이라도, 스위치를 온 한 것만으로도 보안 감시를 시작할 수 있는 것
• Amazon VPC Lattice
  • 방대해진 규모도 간단하게 관리 가능
  • 가시화와 고도해진 트래픽 제어
• 이러한 제로 트러스트의 구현을 기업 네트워크 밖의 IoT 워크로드에도 적용
  • 여러 장소에서의 인증과 암호화를 실현
  • 모던한 아키턱쳐를 모든 장소, 물건에 넓혀갈 수 있음

참가 후기

제로 트러스트에 대해서는 막연하게나마 생각하고 있었는데, AWS 환경에서의 제로 트러스트에 대해 다시 한 번 생각해보게 되는 세션이었습니다.

그리고 본 세션을 통해서 제로 트러스트를 구현하기 위해 고려해야할 사항, 사용할 수 있는 AWS 서비스 등에 대해 배울 수 있었습니다. 하지만 아직 관련 서비스를 사용해보지 못했기 때문에 어서 빨리 사용해서 AWS 환경에서의 제로 트러스트를 직접 구현해보고 싶어졌습니다!