AMAZON AWS 용어정리

 

보안 관련 용어 정리

 

AWS IAM - 콜솔에 로그인 허용,  사용자 그룹 또는 역할에 세분화된 권한 배정

                    최소 권한 원칙 적용 필요에 따라 액세스 권한 부여, 역할 분리 적요, 장기자격 증명 사용 안함

MFA - 멀티 팩터 인증

AWS Managed Microsoft AD - 도메인 워크로드와 AWS리소스가 AWS클라우드의 관리형 Active Directory를 사용할 수 있게 허용

AWS Systems Manager - 시스템 인벤토리 수집, 운영 체제 패치 적용

Amazon Cognito - 웹 및 모바일 앱에 사용자 가입, 로그인 및 액세스 제어 추가

AWS IAM Identity Center - 여러 AWS계정과 비스니스 애플리케이션에 대한 SSO 액세스를 중앙에서 관리할 수 있음

AWS SCP - 조직이나 계정 전체에 쓰는 캡 역할(최대 한도만 적음)

*IAM(최고 권한)과 SCP가 맏붙으면 ? SCP가 이김 권한 평가에서 SCP가 우선됨

AWS Organization - 여러 AWS계정에 대한 정책을 중앙 관리 및 적용

AWS Directory Service - Simple AD디렉터리에 사용자 및 그룹 추가, Iam과 역할을 연결, 악의적 사용자의 액세스 권한 제거

 

인프라 보호 - 공격 표현 최소화/ 모든 계층 보호 

AMAZON VPC

AWS WAF - 웹 애플리케이션을 대상으로 한 악성 웹 요청을 감지 및 차단, 웹 트래픽 필터링 기능, 실시간 지표 등

                     애플리케이션 영역인 레이어 7만 방어함

 

 (대상)

Amazon CloudFront

Amazon API Gateway

Application Load Balancers

Amazon Cognito User Pools

AWS AppSync

AWS Shield - 상시 작동하는 네트워크 흐름 및 트래픽 검사 (DDos공격 보호), 레이어 3~4에서 물리적인 방어를 막아내며

Amazon Inspector - 자동화된 리소스 검색 기능 제공

 

데이터 보호 - 전송 데이터 및 저장 데이터 보호 

AWS KMS(Key Management Service) - 데이터 암호화에 사용되는 키를 생성하고 제어할 수 있는 관리형 서비스

AWS Secrets Manager - AWS, 온프레미스, 서드 파티 서비스의 리소스에 액세스하는데 사용되는 기밀을 중앙에서 관리할 수 있는 서비스, 암호 안전하게 보관, 비밀번호 자동 변경 기능

 

탐지 - 추적 작업 및 병경 모니터링, 로그 지표 사용 

AWS CloudTrail - 사람 중심으로 원인, 범위 추적

Amazon CloudWatch - Aws리소스와 애플리케이션 모니터링 및 보고, 운영 가시성 및 인사이트 제공

Amazon EventBridge - 선택한 대상으로 실시간 데이터 스트림을 전송하는 서버리스의 이벤트 버스 서비스

AWS Trusted Advisor - AWS환경을 조사한 후 비용을 절감하거나 시스템 성능을 개선하거나 보안 빈틈을 막기 위한 방법 추천

Amazon GuardDuty - AWS 계정과 워크 로드의 지속적인 모니터링 및 보호 기능 제공, 기계학습(ML)을 사용하여 이상 징후 탐지

AWS Security Hub.- 여러 AWS 서비스에서 보안 알림 또는 평가 결과를 집계 및 구성하며 순위를 지정하는 단일 위치 제공

 

사고 대응 - 보안 자동화/ 이벤트에 대비

AWS Systems Manager Incident Manager - 대응계획을 사용하여 팀 계획 및 실행서 연결, 실행서를 사용해 작업

AWS Lambda - 서버 구축필요 없이 코드만 실행하면 바로 실행(과금도 실행시에만)

AWS Config - 리소스와 연결된 모든 구성 변경사항을 지속적으로 형상 변화를 기록함, 실시간으로 위험한 설정을 계속 알림

 

애플리케이션 보안 - 애플리케이션 보호

AWS Security Agent

SAST

DAST

 

 

 

Amazone EC2

Amazone RDS

 

클라우드

Amazon S3 - 암호화 및 적절한 수준의 데이터 액세스를 통해 데이터를 보호함, 해당 버킷의 특성 작업에 대한 권한 부여

Amazon DynamoDB

Amazon EMR

 

 

AWS Artifact - AWS 계약 검토, 수락, 관리, 규정 준수 감사 보고서 및 증명서 관리

Amazon Macie - 기계 학습을 사용하여 AWS에 있는 민감한 데이터를 자동으로 검색, 분류 및 보호

 

Elastic Load Balancer - 서브넷으로의 인바운드 트래픽 분산, 전송 중 데이터 암호화 및 TLS 종료, 단일 접점 및 1차 방어선 

                                         AWS 서비스 통합

인터넷 게이트웨이 - VPC와 인터넷간의 인바운드 및 아웃바운드 연결, 고가용성, VPC 내에서 인터넷 라우팅 가능한 트래픽을 위한 대상

 

VPC에 보안 기능

서브넷 라우팅

네트워크 ACL

보안 그룹

Amazon Kinesis

AWS Step Functions - 여러 AWS서비스를 서버리스 워크플로로 조율할 수 있게 인스턴트를 신속 대응

AWS CloudFormation - 씸층적인 조사를 수행할 수 있는 새로운 환경 신속 생성

Amazon SNS(Simple Notification Service)

Amazon SQS(Simple Queue Service)

SIEM 이벤트 관리

 

Amazon Route 53 - 트래픽을 웹 애플리케이션으로 보내는 DNS

Amazon CloudFront - 최종 사용자에게 데이터를 전송하는데 캐싱 기반의 지연시간도 짧고, 고속으로 전달하는 CDN 네트워크

Amazon Accelater - 전송하는 경로를 봐꾸어 AWS에 Private 구간으로 진입하여 속도를 올림 2개에 애니캐스트 고정IP 제공, 장애나면 1분 이내 경로 변경(극도의 실시간통신 ex 온라인 게임 활용)

AWS Direct Connect

 

AWS Stroage Gateway - 온프레미스는 유지하되 S3 공간을 연장해서 사용하는거(하이브리드)

AWS DataSync - 데이터를 쌓서 이사

EBS - 한서버에 종속되는 스토리지 

ESS - 부서원 전체가 쓰는 공유 폴더 (한 영역을 못버어남)

EFS - 전 영역에서 공유하는 

S3 Object - 버전관리, 지정된 보존기간 내 삭제 불가능하게 설정 가능(Root관리자도)

 

DB - 고가용성 DB

Aurora Serverless - 수용량에 맞춰 늘렸다가 자동으로 줄어듬/ 용량이 0인 상태에서 늘어날때 콜드 스타트 지연이 발생함

RDS 멀티 에이짓 - 고속도로처럼 꾸준하게 데이터가 들어오면 지연 시간 없는, RDS가 유리함