【세션 레포트】AWS에서 제로 트러스트를 실현하기 위한 어프로치(AWS-39) #AWSSummit
들어가기에 앞서
안녕하세요, AWS Summit Tokyo 2023에서 참가한 세션의 내용을 블로그를 통해 공유하고자 합니다.
본 글은 세션 AWS-39 「AWSでゼロトラストを実験するためのアプローチ」의 내용을 번역하여 정리한 글입니다.
세션 개요
대상자
- AWS의 제로 트러스트에 관해 관심을 갖고 계신 분
- 네트워크와 아이덴티티를 조합하여, 통합적으로 보안성을 높이고 싶은 분
- AWS의 기본적인 엑세스 제어 방식에 대해 이해하고 계신 분
Key takeaways
- AWS에서의 제로 트러스트 컨셉
- 주목해야할 유스 케이스와 과제
- 도움이 되는 AWS Building Block
아젠다
- 제로 트러스트를 요구하는 이유
- 제로 트러스트 아키텍쳐를 구축하기 위한 접근법(AWS Zero Trust Guiding principle)
- AWS의 제로 트러스트를 위한 어프로치(Zero Trust "of" the Cloud)
- Building Block로 실현하는 제로 트러스트 아키텍처(Zero Trust "in" the Cloud)
세션 레포트
제로 트러스트를 요구하는 이유
- 비즈니스와 보안의 양립과 실현의 이상
- 데이터나 시스템에 대해서 적절한 보안성을 유지할 수 있고, 필요에 따라 간단하게 이용할 수 있어야함
- 기업 시스템을 둘러싼 환경 변화와 보안
- 동작 방식의 다양성과 콜라보레이션에 대해 고려해야함
- 엑세스 경로의 다양성과 원격 엑세스 등 네트워크 경계의 구분이 어려워지고 있다
- 데이터 보호에 대한 높아진 요구사항과 어프로치의 변화
- 내부에도 위협이 있다는 것을 전제로 해야한다
- DX(Digital Transformation)
- 기업 네트워크 네트워크를 넘어서, 사람과 물건의 연결하여 새로운 가치를 창출함
- 동작 방식의 다양성과 콜라보레이션에 대해 고려해야함
- Zero trust란?
- Zero trust를 구현하기 위해 데이터, 워크로드 등 많은 부분에 대해 보안 통제가 필요함
- 한 가지가 아닌 전체적인 부분에 대해 신경 쓰는 것이 중요
- AWS가 생각하는 Zero trust
- 보안을 위한 관리책을 제공하기 위한 컨셉 모델과 그것과 관련한 일련의 메커니즘
- 전통적인 네트워크 경계만을 생각하는 것이 아닌, 아이덴티티 경계와의 조합을 고려
제로 트러스트 아키텍쳐를 구축하기 위한 접근법(AWS Zero Trust Guiding principle)
- "Zero trust" 이전의 네트워크 경계 방어
- 경계 밖: IP 주소를 기반으로한 신뢰할 수 있는 '네트워크 장소'에서의 접속만 허가
- 경계 안: 상대방을 암묵적으로 신뢰하고 있으며, 수평이동 하기 쉽고 영향 범위를 제한하기 어려움
- AWS 서비스 간의 상호 작용에 의한 아이덴티티 중심의 제어
- 예로 Auto Scailing 이 동작하기 전에, API 호출을 통해서 assume Role이나 인증/인가 등이 이루어 지는 것
- AWS Zero Trust Guiding principle
- 다음과 같은 주요 내용을 말하고 있음
- 네트워크와 아이덴티티를 조합해서 보안성을 높여 가는 것
- 유스 케이스에 중점을 두고 생각하자는 것
- 기술적인 원리 원칙은 같음
- 해결하고 싶은 과제에 대해 역으로 생각해보기
- 고부가가치 논점으로 바라보기
- 획일적이 아닌, 시스템과 데이터의 가치를 고려하는 것
- 보호하고 싶은 데이터나 시스템의 특징을 파악
- '획일적'이 아닌 대상에 따라 '적합한' 방식을 모색
- 다음과 같은 주요 내용을 말하고 있음
AWS의 제로 트러스트를 위한 어프로치(Zero Trust "of" the Cloud)
- Zero Trust는 '여정'과도 같다
- 과제나 나아가야할 방향을 정한 후 실현해 나아가야한다
- 보호되고 있는 어플리케이션으로의 용의한 액세스
- 제로 트러스트 네트워크 엑세스로 원격 액세스 체험을 개선
- 예를 들어, VPN 없이도 어디에서나 이용하는 것
- 제로 트러스트 네트워크 엑세스로 원격 액세스 체험을 개선
- 보다 간단하게 안전한 접속 요구를 높일 수 있는 것
- 온프레미스 환경을 경유하는 경우,
AWS Direct Connect,AWS Site-to-Site VPN - VPN을 사용한 다이렉트 접속의 경우,
AWS Client VPN - Seamless 접속과 섬세한 접속 제어의 양립의 경우, 어플리케이션과 세션 단위의 제어
- 온프레미스 환경을 경유하는 경우,
Building Block로 실현하는 제로 트러스트 아키텍처(Zero Trust "in" the Cloud)
- AWS Verified Access
- 다양한 곳에서 Seamless한 접속이 가능
- 유저와 디바이스에 기반한 엑세스 제어
- 간단하게 보안 운용이 가능
- 컴퍼넌트 간의 흐름에 대한 액세스 제어
- 불필요한 네트워크이 수평 이동 방지
- Security group, IAM Role, VPC Endpoint 등 베이직한 방법을 사용하여 제어
- Security group: 네트워크 경계를 중심으로한 제어
- IAM Role: 아이덴티티를 중심으로한 제어
- VPC Endpoint: 네트워크 경계와 아이덴티티를 조합한 단방향 액세스
- 고가용성과 아이덴티티 중심의 기반을 지지할 수 있는 환경과 구성에 의존하지 않는 보안감시 감시
- 제로 트러스트를 구축한 환경이라도, 스위치를 온 한 것만으로도 보안 감시를 시작할 수 있는 것
- Amazon VPC Lattice
- 방대해진 규모도 간단하게 관리 가능
- 가시화와 고도해진 트래픽 제어
- 이러한 제로 트러스트의 구현을 기업 네트워크 밖의 IoT 워크로드에도 적용
- 여러 장소에서의 인증과 암호화를 실현
- 모던한 아키턱쳐를 모든 장소, 물건에 넓혀갈 수 있음
참가 후기
제로 트러스트에 대해서는 막연하게나마 생각하고 있었는데, AWS 환경에서의 제로 트러스트에 대해 다시 한 번 생각해보게 되는 세션이었습니다.
그리고 본 세션을 통해서 제로 트러스트를 구현하기 위해 고려해야할 사항, 사용할 수 있는 AWS 서비스 등에 대해 배울 수 있었습니다. 하지만 아직 관련 서비스를 사용해보지 못했기 때문에 어서 빨리 사용해서 AWS 환경에서의 제로 트러스트를 직접 구현해보고 싶어졌습니다!
