보안 담당자들이 인프라를 보호할 때 직면할 수 있는 일반적인 어려움에 대한 실용적인 솔루션을 설명한다. CIA 3 요소(기밀성, 무결성, 가용성), AAA 3 요소(인증, 권한 부여, 가용성), 부인 방지 등의 보안 모델 실현에 도움을 줄 수 있는 AWS의 서비스와 기능을 설명한다.
많은 사람에게 친숙한 IAM과 S3의 정책을 먼저 소개하고, 그 후에 데이터 보안, 애플리케이션 보안, 모니터링, 컴플라이언스를 자세히 설명한다. Config, GuardDuty, Macie, Glacier Vault Lock, Inspector, Security Hub 등의 AWS 보안 서비스도 전반적으로 다룬다. 마지막으로 장마다 중요한 보안 영역을 다루고 클라우드 보안 모범 사례와 추가 보안 서비스를 소개한다.

■ 사용자, 그룹, 역할의 생성과 관리
■ 계정과 관련된 정책
■ 로그 기록, 모니터링, 감사를 위한 AWS 관리 서비스 사용
■ 머신러닝을 사용하는 AWS 관리 서비스를 이용한 컴플라이언스 점검
■ EC2 인스턴스와 애플리케이션을 위한 보안과 가용성 제공
■ 동기, 비동기 암호화를 사용한 데이터 보호
■ 각종 서비스와 결합된 로그인을 통한 인증 풀과 사용자 풀 관리

AWS 환경에서 안전하게 애플리케이션을 배포하려는 IT 보안 전문가, 클라우드 보안 아키텍트, 보안과 관련된 클라우드 애플리케이션 개발자에게 유용하다. 또한 AWS 공인 보안 전문가 자격을 취득하는 데 관심이 있거나 AWS와 클라우드 환경에 대한 지식을 쌓고자 하는 독자에게도 도움을 줄 수 있다.

1장, ‘IAM과 Organizations를 활용한 AWS 계정 관리’에서는 IAM(Identity and Access Management) 서비스의 사용자(users), 그룹(groups), 역할(roles), 권한 정책(permission policy)을 소개한다. 또한 AWS Organizations 서비스를 이용해 다중 계정(multiple account)을 만들고 관리하는 방법도 다룬다.
2장, ‘S3 정책과 기능으로 데이터 보호’에서는 S3(Simple Storage Service)의 데이터를 액세스 컨트롤 리스트(ACL, Access Control List), 버킷 정책, 미리 선언된(pre-signed) URLs, 암호화, 버저닝(versioning), 서로 다른 리전 간 복제를 통해 S3를 보호하는 방법을 소개한다.
3장, ‘Cognito의 사용자 풀과 자격증명 풀 관리’에서는 Cognito와 애플리케이션 보안, 사용자 풀(pool), 사용자 가입, 인증/인가 플로(flows), 페더레이션(federation)을 이용한 자격증명 로그인의 개념을 소개한다.
4장, ‘KMS와 CloudHSM으로 키 관리’에서는 HSM(Hardware Security Module)을 공유해 AWS KMS(Key Management Service)로 암호화 키를 관리하고, 클라우드 전용 Cloud HSM을 이용해서 보안을 강화하는 방법을 소개한다.
5장, ‘VPC의 네트워크 보안’에서는 VPC(Virtual Private Clouds)로 AWS 환경을 보호하기 위한 방법을 소개한다. 공개 서브넷(Public Subnet), 사설 서브넷(Private Subnet), 라우팅 테이블(routing table)과 네트워크 게이트웨이(network gateway) 구성, 보안 그룹(Security Group), 네트워크 접근 제어 목록(NACL, Network Access Control Lists) 등을 사용해 송수신되는 네트워크 트래픽을 보호하는 방법을 소개한다.
6장, ‘EC2 인스턴스 시작’에서는 EC2(Elastic Compute Cloud) 인스턴스를 안전하게 보호하려고 사용자 지정 VPC에서 인스턴스 시작, 보안 그룹(Security Group) 사용, 시스템 매니저 매개 변수 저장소(System Manager Parameter Store) 사용, 사용자 정보로 EC2 인스턴스를 부트스트래핑(bootstrapping)하는 방법을 소개한다. 또한 EBS(Elastic Block Store)에서 데이터를 암호화하는 방법을 소개한다.
7장, ‘ELB와 CloudFront, WAF를 이용한 웹 보안’에서는 웹 보안 환경을 구성하고 안전한 웹 트래픽, 가용성 증대를 위해 서로 다른 타입의 로드 밸러서(Load Balancer)와 CloudFront를 이용해 인스턴스 레벨의 TLS 터미네이션(termination)을 구현하는 방법을 소개한다. 또한 AWS 환경에서 어떻게 WAF(Web Application Firewall)를 사용할 수 있는지 소개한다.
8장, ‘CloudWatch, CloudTrail, Config로 모니터링’에서는 문제 해결, 규정 준수, 책임 추적성 등에 도움이 되고 지속적인 모니터링, 경고, 정기적인 감사를 수행하는 내용을 소개한다. CloudWatch, CloudTrail, Config, SNSSimple Notification Service 등의 서비스를 소개한다.
9장, ‘GuardDuty, Macie, Inspector로 규제 준수’에서는 컴플라이언스 관련 규정을 준수하지 않을 경우 어떻게 알림을 받을 수 있는지 소개한다. GuardDuty, Macie, Inspector 등의 서비스가 사용하는 머신러닝(machine learning)과 알고리즘(algorithms)이 어떻게 컴플라이언스 확인을 도와주는지 소개한다.
10장, ‘AWS 보안의 추가적인 서비스와 가이드’에서는 Security Hub, SSO(Single Sign-On), Resource Access Manager, Secret Manager, Trusted Advisor, Artifact, S3, Glacier 등 AWS 인프라를 보호할 때 사용할 수 있는 추가 서비스와 기능을 알아본다. AWS Marketplace에서 추가 보안 제품을 사용하는 방법을 소개한다.

시큐리티 컨설턴트로서 잘 알려진 모범사례를 따라 안전한 정책을 구현하는 것은 매우 중요하다. 이 책은 인프라에 대한 안전조치와 관련된 일반적인 문제의 해법을 설명하고 AWS의 서비스와 기능을 다룬다. 여기에는 부인봉쇄(Non repudiation)와 함께 CIA 3 요소(기밀성, 무결성, 가용성)와 AAA 3 요소(인증, 권한 부여, 가용성)와 같은 보안 모델의 구현을 돕는 것을 포함한다.
IAM과 S3 정책을 시작으로 데이터 보안과 애플리케이션 보안, 모니터링, 컴플라이언스를 파악할 수 있도록 한다. 여기에는 안전한 엔드포인트를 위한 방화벽과 로드벨런서의 사용부터 사용자와 사용자 인증 관리를 위한 코그니토의 사용까지가 포함된다. 이 책의 모든 과정을 통해 가드듀티(GuardDuty)와 메이시(Macie), 인스펙터(Inspector) 뿐만 아니라 모니터링을 위한 컨피그(Config)와 같은 보안 서비스의 사용법을 배울 수 있다. 마지막으로 클라우드 보안에 관한 모범사례를 다루고 사용자의 인프라를 더욱 안전하게 강화할 수 있도록 하는 글레이시어 볼트 락(Glacier Vault Lock)과 시큐리티 허브(Security Hub)와 같은 추가적인 보안 서비스와의 연동 방법도 보여준다.
이 책을 모두 읽고 나면 AWS 공인 보안 전문가 자격을 준비하는 데 필요한 지식을 얻을 수 있을 뿐만 아니라 안전한 AWS 배포에서 요구되는 기술에 익숙해질 수 있을 것이다.

하르틴 카니카토투(Heartin Kanikathottu)

12년 이상의 IT 경험이 있는 저자이자 건축가이자 기술 전도사다. VMware, IG 인포테크, 소프트웨어 AG, SAP 아리바, 아메리칸 익스프레스, TCS 등에서 근무했다. 대학에서 컴퓨터 공학 분야의 B-Tech 학위를 받았고, 클라우드 컴퓨팅 분야의 석사 학위와 소프트웨어 시스템 분야의 M-Tech 학위를 받았다. 클라우드, 보안, 코딩, AWS, 피보탈, 오라클, 마이크로소프트, IBM, Sun과 같은 제공업체의 디자인 분야에서 10개 이상의 전문가 자격증을 갖고 있다. 컴퓨터 공학과 클라우드, 프로그래밍을 주제로 운영 중인 블로그는 전 세계에 걸쳐 팔로워가 있다. 또한 다른 사람들을 멘토링하고 직장, 모임과 콘퍼런스에서 기술 세션을 이끌고 있다. 독서를 좋아하고 기술서, 소설, 자기계발서를 비롯한 큰 서재를 유지하며 관리하고 있다.

아마존 웹 서비스(AWS, Amazone Web Services)는 2006년 첫 퍼블릭 클라우드 서비스를 출시한 이래, 매년 고객이 필요로 하는 혁신적인 서비스를 지속적으로 출시하며 고객과 함께 성장하고 있다.
이러한 성장의 바탕에는 고객 신뢰가 있다. 전 세계 누구나 사용할 수 있도록 열려 있으면서도 보안 측면에서 안전성을 꾸준히 증명해오고 있기 때문이다. AWS에서는 "Security is job zero"라는 말을 사용한다. 이 말은 무슨 뜻일까? 선뜻 우리나라 말로 옮기기에도 난해한 이 문장은 "AWS에서 보안은 그 어떤 것보다 우선시된다" 정도로 해석할 수 있다. 즉, AWS는 보안을 모든 것의 근간으로 보고 있으며, 보안이 없이는 그 어떤 것도 있을 수 없다는 의미다. 그와 동시에 AWS의 서비스를 사용할 때 보안의 책임은 고객과 AWS가 동시에 가져야 한다는 ‘공동 책임(Shared Responsibility)’ 모델을 잊어서는 안 된다. 예를 들어, AWS의 완전 관리형 서비스를 사용해 고객이 비즈니스를 구현하고 운영한다면 완전 관리형 서비스 자체에 대한 보안 책임은 AWS에 있지만, 그 위에 구현된 비즈니스 요소에 대한 보안 책임은 고객에게 있다는 의미다. 그렇다면 고객이 비즈니스 요소를 구현할 때 어떤 서비스를 어떻게 이용해야 최적의 보안을 보장할 수 있을까?
AWS를 사용해 비즈니스를 구성해본 독자라면 이 질문을 수없이 던져봤을 것이다. 이 책은 그 질문의 답으로 수많은 AWS 서비스를 어떻게 활용해야 하는지를 설명하고 있다.
이 책은 제일 먼저 1장에서 AWS 보안의 핵심인 IAM의 기본적 요소를 설명하는 것부터 시작한다. 2장에서는 AWS의 핵심 서비스 중 하나인 S3를 어떻게 사용해야 안전하게 데이터를 보호할 수 있는지 설명하고, 3장에서는 사용자 인증에 매우 효과적인 코그니토(Cognito) 서비스의 사용자 풀과 자격증명 관리를 알아본다. 이어서 4장에서는 암호화 키와 관련된 AWS의 서비스인 KMS와 하드웨어 보안 모듈 서비스인 CloudHSM를 다루고, 5장에서는 AWS 네트워크 환경에서 빼놓을 수 없는 VPC의 네트워크 보안을 설명한다. 또한 6장에서는 AWS의 핵심 서비스 중에 하나인 EC2 서비스를 사용할 때의 최적의 보안 방법을 설명하고 5장에서 다룬 네트워크 보안을 이어간다. 7장에서는 본격적으로 AWS에서 제공하는 보안 서비스 중 하나인 WAF와 로드밸런서, ELB, CloudFront를 이용한 네트워크 보안 구현 방법을 다룬다. IT에 관련된 어떤 영역에 국한하지 않고 보안에서 제일 중요한 기능 중 하나라고 볼 수 있는 모니터링에 관해서는 8장에서 다루는데, 이 책에서는 그중 핵심인 CloudWatch와 CloudTrail, Config 서비스를 살펴본다. 그뿐만 아니라 보안과 관련된 상황이 발생하면 적절하게 알림을 제공하는 것이 운영에서 필수라고 할 수 있고, 동시에 각 계정에서 적절하게 보안을 준수하고 있는지 쉽게 파악할 수 있다면 더 안전하게 비즈니스를 영위해 나갈 수 있음은 확실하다. 이를 위해 AWS에서는 GuardDuty, Macie, Inspector 등의 서비스를 제공하고 있으며, 9장에서는 이들 서비스를 어떻게 활용할 수 있는지 설명한다. 마지막으로 10장에서는 지금까지 살펴본 많은 보안 서비스 외에 AWS를 더욱 안전하게 사용하고자 할 때 주목할 만한 가치가 있는 서비스를 살펴본다.
이렇듯 AWS의 퍼블릭 클라우드 서비스를 사용할 때 때로는 필수고, 때로는 추가 편의성을 제공하는 여러 서비스를 설명하면서 어떻게 하면 효과적으로 사용할 수 있는지를 다양한 레시피 형태로 제공한다.
이 책으로 AWS의 보안 철학과 체계를 쉽게 이해하고 활용해 각자가 원하는 비즈니스를 안전하고 편리하게 사용할 수 있을 것이라 믿는다. 지속적으로 발전하고 혁신하고 있는 AWS의 각종 서비스를 각자의 비즈니스 발전에 발 맞출 수 있는 기틀을 마련할 수 있기를 희망한다.
- 대표역자 배영부

권연주

대학교에서 컴퓨터공학을 전공하고 국내 보안회사에서 처음 일을 시작했다. 현재는 클라우드 보안 컨설턴트로 바쁘게 지내고 있으며, 오래도록 새로운 것을 배우면서 일하는 것이 꿈이다.

류제광

IT 및 정보보호 보안 영역에서 22년 이상의 경력을 보유하고 있다. 제조, 금융 서비스 및 통신 인더스트리 등 다양한 영역에서 고객이 온프레미스와 클라우드 환경에서 보안 정책 및 규제 요구 사항을 충족하는 보안 인프라와 서비스를 구축하고 운영할 수 있도록 도움을 주고 있다. 현재는 아마존 웹 서비스에서 시니어 시큐리티 컨설턴트로 근무 중이며 AWS 클라우드 보안 관련 컨설팅 및 아키텍트로서 서비스를 제공하고 있다. 개인 시간에는 가족 및 반려견과 산책하는 것을 좋아하며, 바다 낚시, 인도어 가드닝의 취미를 즐기고 있다.

진상열

레거시(Legacy) 환경과 클라우드 환경의 정보보안 전문가로 정보보호 조직 구성, 시스템 개발보안, 물리적 보안, 암호 및 접근 통제, 위험 관리, 침해사고 관리 등 다양한 보안 영역에서 활동했다. 최근에는 마이크로서비스 아키텍처(Microservice Architecture)와 데브옵스(DevOps) 영역에 적용할 수 있는 DevSecOps 전문가로 활동하고 있으며, 지금까지 경험한 기술적 지식과 노하우를 공유하기 위해 다양한 활동을 하고 있다.

배영부

영상 보안 제품을 시작으로, 리눅스 커널 기반의 L4-7과 방화벽, 보안 스위치 같은 네트워크 보안 제품과 SIEM 등 다양한 보안관련 제품 개발, 기존 레거시 시스템과 클라우드 시스템을 통합 모니터링, 분석하는 솔루션의 개발에 참여했다. 지금은 AWS의 Professional Service 팀에서 고객의 비즈니스 성공을 최우선으로 하는 클라우드 아키텍트 팀을 맡고 있다. 그 외에도 비록 잘 되진 않지만 더 의미 있고 재미있는 인생을 살고자 다양한 것을 시도하고 있다. 에이콘출판사에서 출간한 『소프트웨어 보안 평가 The Art of Software Security Assessment』(2013), 『실전 리눅스 악성코드 포렌식』(2015), 『POS 시스템 해킹과 방어』(2015), 『네트워크 보안 실험실』(2018)을 번역했다.