20180124 naver labs aws network and security

AWS Network and Security
24. Jan. 2018
hello@hbsmith.io
1

발표자 소개
• 한종원
• Python과 Cloud Infra, Lean/Agile 방법론 그리고 애플의 제품을 사랑.
• 2012년 석사 학위를 마치고, startup을 시작 
(이때부터 AWS를 production level에서 사용)
• '의미가 있는 일을, 올바르게 하고 싶다.'
• 경력
• (현) DevOps 전문 스타트업 ‘HB Smith’ 대표
• 택시 O2O 서비스 스타트업 ‘Kanizsa Lab’의 backend server / infra devops 담당
• Cloud computing 전문 스타트업 'A2 company' co-founder (‘KINX’에 인수합병)
• NEXON 'MapleStory 국내 Live Team'에서 DBA, SA로 근무 (산업 기능 요원)
2
https://www.linkedin.com/in/addnull/
https://hbsmith.io
“Startup 경력 = AWS 사용 기간”

목차
• 발표 대상: AWS를 처음 접하는 네트워크, 보안 관리자
• 발표 내용
• AWS 소개
• AWS Account
• VPC
• CloudTrail and GuardDuty
• WAF and Shield
3
(예상 발표 시간: 50분)

AWS 소개
• ‘어디서부터 
시작해야하는거지?’
5
2018년 1월 현재
90개가 넘는 서비스
매년 약 10개의 
신규 서비스가 추가 됨

AWS 소개
• AWS 쓴다는 것은?
• LEGO 블럭처럼 여러 개의 AWS 서비스를 조합해서 나만의 Infra 구축
• 관리자가 할 일을 일부 또는 거의 전체를 위임
6
Troubleshooting
API
HA
DR
Automation
Scale Out
Scale Up
Backup
Migration
Failover

AWS 소개
7
자료출처 https://www.slideshare.net/awskorea/2017-awsome-day-online-1-aws-aws

AWS 소개
8

AWS 소개
• 조합의 예시
9
자료출처 https://www.slideshare.net/AmazonWebServices/deep-dive-on-aws-mobile-hub-for-enterprise-mobile-applications/

AWS 소개
10

AWS 소개
자료출처 http://www.hostingadvice.com/how-to/iaas-vs-paas-vs-saas/
• Abstraction level
• 음식점 피자: 
돈만 있으면 OK!
• 배달 피자: 
식탁과 돈 필요
• 냉동 피자: 
전자렌지, 식탁, 돈 필요
• 홈피자: 
집에서 AtoZ 모두 다 필요
11

AWS 소개
Software 통채로 대여
Platform 까지 대여
Infrastructure만 대여
Cloud 안 씁니다..
• 홈피자: 
12

AWS 소개
• 홈피자: 
13
Software 통채로 대여
Platform 까지 대여
Infrastructure만 대여
Cloud 안 씁니다..

AWS 소개
14
“직접 설치와 관리” “위임”

AWS 소개
• Region & Availability Zone
• 18 Regions (city)
• 49 AZ (data center)
15

AWS Account
• 권한(Authorization) 관리 관점에서 크게 2가지로 나뉨
• Root User
• 이메일 주소
• 모든 권한을 가짐
• IAM Users
• 특정 root user에 귀속된 계정
• root user의 권한 중에 일부만 가짐
• 즉, 일부 AWS service 에 대해서만 권한을 부여 가능
17
인감증명서
사원증, 운전면허증

AWS Account
18
자료출처 http://jayendrapatil.com/tag/iam/

AWS Account
• 인증(Authentication)은 접근 방식에 따라 크게 2가지로 나뉨
• Web management console (웹브라우저)
• Programmatic access (REST API, SDK, CLI, 3rd-party SW)
19

AWS Account
• Web management console (웹브라우저)
• Passwords
• 옵션으로 MFA 설정 (6자리 숫자)
20
Root/IAM user 당 오직 1개

AWS Account
• Programmatic access (REST API, SDK, CLI, 3rd-party SW)
• Access/Secret Keys
21
Root/IAM user 에 여러 개 생성 가능

VPC
• VPC는 infrastructure의 뼈대
• public/private subnet
• public/private route table
• internet gateway
• NAT gateway
• VPN gateway
• VPC는 network traffic 흐름과 
instance(EC2, RDS 등)의 위치를 결정
23
VPC = 가상의 IDC

VPC
• 보안 관점에서 VPC
• Security groups 
EC2 단위의 방화벽 역할 
(in/out-bound allow rule only)
• NACL 
subnet 단위의 방화벽 역할 
(in/outbound allow/deny rules)
• Flow logs 
subnet 안의 IP traffic을 CloudWatch로 기록 (GuardDuty와 연동 가능)
25

CloudTrail and GuardDuty
• CloudTrail
• AWS service 와 resource 에 대한 
모든 API 대상 audit 
(user, account, IP address, time)
• Audit log를 S3 와 CloudWatch로 
전달 가능
• 특정 event에 대해서 workflow 
정의 가능
27

CloudTrail and GuardDuty
• GuardDuty
• CloudTrail 와 VPC Flow logs 의 
데이터 기반으로 위협 감지 시스템
• 2017년 11월 re:Invent 행사에서 
최초 공개
• 다수의 3rd party 와 연동 가능
• Alert Logic / Evident.io / 
Palo Alto Networks / Rapid7 / 
Redlock / Splunk / 
Sumo Logic / Trend Micro
28

WAF and Shield
• WAF: CloudFront 와 ALB 의 web request 를 제어
30

WAF and Shield
• WAF: CloudFront 와 ALB 의 web request 를 제어
• 복수 개의 condition 에 대한 
rule를 생성 
(옵션으로 rate limit 설정)
• 복수 개의 rule 에 대한 
action(allow, block, count)을 
web ACL로 추가 
31

WAF and Shield
• Shield: DDoS 방어 시스템. 2가지 tier로 나뉨
• standard tier: 무료이며 기본적으로 활성화된 상태. 
WAF와 함께 직접 관리 (WAF 사용 부분은 과금)
• advanced tier: application-layer traffic 모니터링 등의 추가 기능. 
WAF를 무료로 쓸 수 있음. 
32

Wrap Up
• 발표 대상: AWS를 처음 접하는 네트워크, 보안 관리자
• 발표 내용
• AWS 소개
• AWS Account
• VPC
• CloudTrail and GuardDuty
• WAF and Shield
34
authentication and authorization
network configuration
audit and anomaly detection
DDoS protection

감사합니다
hello@hbsmith.io
010-9166-6855
35

20180124 naver labs aws network and security

More Related Content

What's hot (20)

Similar to 20180124 naver labs aws network and security (20)

More from Jongwon Han (20)

20180124 naver labs aws network and security