클라우드 시큐리티 과정 7기 - 5주차 AWS Control Tower 및 ZTNA

안녕하세요, Twodragon입니다. 

이번 포스트에서는 클라우드 보안 과정 7기의 AWS 취약점 점검 및 ISMS 대응 가이드에 관련된 내용을 다루고자 합니다. 이 과정은 게더 타운에서 진행되며, 각 세션은 20분 강의 후 5분 휴식으로 구성되어 있습니다. 이러한 구성은 온라인 강의의 특성 상 눈의 피로를 줄이고, 멘티 분들의 집중력을 최대화하기 위함입니다. 여러분들과 함께 다양한 AWS Control Tower 및 ZTNA 관련 주제를 깊이 있게 다루어 보고자 합니다.

 

---

 

10:00 - 10:20 근황 토크 & 과제 피드백

• 한 주간의 근황 공유 및 토론
• 영상 & 과제 피드백: 어려웠던 점, 개선점 공유
• 보안 이슈 논의

10:25 - 10:50 AWS Control Tower

• AWS Identity Center (Single Sign-On)
• Okta 및 ZTNA

11:00 - 11:30 Cloudflare

• Cloudflare 및 보안 모니터링
• Cloudflare, CDN 구성

11:40 - 12:00 필수적인 실습을 통한 이론 정리 

---

최신 보안 업데이트 권고사항

• BPF 점검 가이드 배포 : https://www.krcert.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000133&searchWrd=&menuNo=205020&pageIndex=1&categoryCode=&nttId=71754

 

AWS Control Tower

• AWS Control Tower는 AWS 환경에서 멀티 계정 전략을 구현하고 관리하는 데 필수적인 서비스입니다. 이 서비스를 통해 사용자는 IT 자원을 프로젝트 또는 사업 단위에 맞춰 계정을 생성하고 관리할 수 있으며, 이를 통해 보안, 운영 및 규정 준수를 자동화하여 효율적으로 관리할 수 있습니다. 
• [교보정보통신 기술 블로그]에서는 AWS Control Tower의 다양한 기능과 설정 방법에 대해 상세하게 설명하고 있으며, [AWS Control Tower Workshop]을 통해 직접 실습을 진행할 수 있습니다. [2022 AWS Control Tower 영상][Control Tower Workshop]

AWS SSO (Single Sign-On) 

• AWS SSO는 여러 AWS 계정 및 비즈니스 애플리케이션에 대한 중앙 집중식 로그인을 제공합니다. 이를 통해 사용자는 하나의 ID로 모든 관련 자원에 접근할 수 있으며, IT 관리자는 사용자 권한을 쉽게 관리할 수 있습니다. 특히, 보안을 강화하는 과정에서 중요한 역할을 하며, 사용자 관리 및 접근성을 크게 향상시킵니다.

Okta 운영 및 ZTNA (Zero-Trust Network Access)

https://www.42gears.com/solutions/capabilities/zero-trust-network-access/

• Okta를 활용한 통합계정관리와 보안 강화 전략 : https://twodragon.tistory.com/643

클라우드 시큐리티 과정 6기 - 5주차 AWS Control Tower 및 Okta, 제로트러스트 아키텍처

Okta를 통한 인증 및 보안 강화는 다음과 같은 방법으로 진행될 수 있습니다:

• 인증 정책: Zero Trust 원칙에 따라 단계적으로 인증 및 인가를 진행합니다. 이는 MFA, Device Trust 등 다양한 보안 솔루션과 연계하여 이루어집니다.
• 응답 페이로드 관리: Okta FastPass는 서명된 응답 페이로드에 원본 헤더를 포함하여 설치가 권장됩니다. 이를 통해 도메인 불일치를 쉽게 감지하고 경고할 수 있습니다.
• Jamf Pro, Kandji와의 통합: MacOS 용 Jamf Pro, Kandji MDM 솔루션과 Okta Device Trust를 통합하여 보안을 강화합니다.
• 위협 탐지 및 모니터링: XDR 보안솔루션과 통합하여 인증 중에 발생할 수 있는 위협을 탐지하고 모니터링합니다.
  

이러한 전략을 통해 조직은 보다 효율적이고 체계적인 보안 관리 체계를 구축할 수 있습니다. Okta는 단순한 인증 솔루션을 넘어, 조직의 보안을 종합적으로 강화하는 중추적 역할을 합니다. 추가로 SASE 도입 및 K-ISMS 고려사항에 대한 블로그 내용과 같이 고려하면 좋습니다.

Kandji로 macOS 완벽 마스터! 셋업부터 보안, 규정 준수까지 올인원 가이드

SASE 도입 및 K-ISMS 고려사항

• 글은 코로나19 팬데믹으로 인한 원격 근무 필요성 증가에 따라 보안 강화를 위해 SASE(Secure Access Service Edge) 도입을 고려하게 된 배경과 과정을 소개합니다.
• SASE의 핵심 구성 요소인 ZTNA(Zero Trust Network Access)를 중심으로 사용자, 장치, 애플리케이션의 식별 및 보안 접근 관리 방안을 설명하며, ISMS-P 표준에 맞춘 보안 솔루션 구현을 다룹니다.
• 마지막으로 SASE 구성의 나머지 요소인 SWG, CASB, FWaaS에 대한 설명을 통해 조직의 네트워크 보안 아키텍처를 전반적으로 강화하는 방법을 제시합니다.
• Zero Trust Framework(Querypie) : https://github.com/querypie/resources?tab=readme-ov-file
• Querypie Audit : https://github.com/Twodragon0/audit-points

GitHub - querypie/resources

GitHub - Twodragon0/audit-points: Audit Points 공유를 위한 Repository

 

각각의 서비스는 웹 보안 및 성능 향상을 목적으로 하지만, Cloudflare는 CDN과 보안 서비스를 결합한 반면, AWS WAF는 AWS 에코시스템에서 보다 특화된 보안 기능을 제공합니다. 사용자의 특정 요구사항과 인프라에 따라 적합한 서비스를 선택하는 것이 중요합니다.

 

Cloudflare

• Cloudflare 및 보안 모니터링 : https://twodragon.tistory.com/645

클라우드 시큐리티 과정 6기 - 6주차 AWS 보안 모니터링 및 대응

• Cloudflare, CDN 구성 : https://twodragon.tistory.com/664

Cloudflare, CloudFront, S3의 통합 CORS 구성 및 보안 최적화 가이드 🔐

 

필수적인 실습을 통한 이론 정리 

• AWS 아키텍처 및 보안 관련 모임 자료 참고 : https://github.com/awskrug/security-group/tree/main

이러한 실습을 통해 참여자들은 실제로 보안 위협을 식별하고 대응하는 경험을 쌓을 수 있습니다. 클라우드 보안이 중요해지는 현 시점에서, 이와 같은 교육 과정은 필수적인 기술을 배우는 데 큰 도움이 됩니다.