안녕하세요, Twodragon입니다.
이번 포스트에서는 클라우드 보안 과정 8기 5주차에서 다룰 AWS 멀티 계정 거버넌스 및 통합 보안 모니터링에 관련된 내용을 소개하고자 합니다.
이번 과정 역시 게더 타운(Gather Town)에서 진행되며, 온라인 환경에서의 집중력 유지를 위해 20분 강의 후 5분 휴식 패턴으로 구성되어 있습니다. 특히 이번 주차에서는 AWS의 강력한 통제 기능을 제공하는 Control Tower와 SCP(Service control policies)/ RCP(Resource control policies), 그리고 통합 관제 시스템인 Datadog SIEM (Security Information and Event Management)과 Cloudflare를 깊이 있게 다루어 보겠습니다.
📅 5주차 타임테이블
- 10:00 - 10:20 : 근황 토크 & 과제 피드백
- 한 주간의 보안 이슈 및 근황 공유
- 이전 과제(취약점 점검 등) 피드백 및 토론
- 10:25 - 10:50 : AWS Governance & IAM Strategy
- AWS Control Tower & Identity Center
- 조직적 제어: SCP(서비스 제어 정책) vs RCP(리소스 제어 정책)
- 11:00 - 11:30 : Integrated Monitoring & Edge Security
- Datadog SIEM을 활용한 위협 탐지
- Cloudflare WAF 및 CDN 보안 구성
- 11:40 - 12:00 : 필수 실습 가이드 및 이론 정리
1. AWS Control Tower 및 차세대 거버넌스 (SCP & RCP)
AWS Control Tower는 멀티 계정 환경에서 보안 규정 준수와 운영 효율성을 동시에 달성하기 위한 필수 서비스입니다. 랜딩 존(Landing Zone)을 통해 계정 생성부터 로깅, 보안 설정까지 자동화할 수 있습니다.
AWS Identity Center & IAM
과거 AWS SSO로 불리던 AWS IAM Identity Center를 통해 중앙 집중식 사용자 권한 관리를 수행합니다. Okta와 같은 외부 IdP(Identity Provider)와 연동하여 ZTNA(Zero-Trust Network Access) 전략의 기초를 마련할 수 있습니다.
SCP (Service Control Policies) vs RCP (Resource Control Policies)
이번 기수에서는 기존의 SCP뿐만 아니라 최신 보안 트렌드인 RCP를 함께 다룹니다.
- SCP (서비스 제어 정책): 조직 내의 IAM 사용자나 역할(Principal)이 수행할 수 있는 '최대 권한'을 제어합니다. (예: 특정 리전 사용 금지, 루트 계정 사용 제한)
- RCP (리소스 제어 정책): 조직 내의 '리소스'에 대한 데이터 경계(Data Perimeter)를 설정합니다. SCP가 "누가 무엇을 할 수 있는가"를 제어한다면, RCP는 "우리 조직의 리소스(S3, SQS 등)에 외부 접근을 어떻게 차단할 것인가"를 조직 전체 레벨에서 강제합니다. 이를 통해 민감한 데이터 유출을 원천적으로 봉쇄할 수 있습니다.
클라우드 시큐리티 과정 6기 - 5주차 AWS Control Tower 및 Okta, 제로트러스트 아키텍처
안녕하세요, Twodragon입니다. 이번 포스트에서는 클라우드 보안 과정 6기의 AWS 취약점 점검 및 ISMS 대응 가이드에 관련된 내용을 다루고자 합니다. 이 과정은 게더 타운에서 진행되며, 각 세션은
twodragon.tistory.com
2. Datadog SIEM을 활용한 통합 보안 관제
클라우드 환경이 복잡해짐에 따라 단순한 모니터링을 넘어선 SIEM의 필요성이 대두되고 있습니다. Datadog은 인프라 모니터링뿐만 아니라 강력한 클라우드 보안 기능을 제공합니다.
- Cloud SIEM: AWS CloudTrail, VPC Flow Logs 등 다양한 로그를 수집하여 실시간으로 위협을 탐지합니다.
- Dashboard & Alerting: 사전에 정의된 탐지 규칙(Detection Rules)을 통해 비정상적인 행위(예: IAM 권한 상승, 비정상적인 트래픽 급증)를 즉시 경고합니다.
- 학습 리소스: Datadog의 Learning Center를 통해 'Datadog Security Fundamentals' 과정을 수강하며 실무 감각을 익힐 수 있습니다.
- https://twodragon.tistory.com/704
[12월 컨퍼런스 회고] AWSKRUG, OWASP, Datadog으로 미리 보는 2025년: AI와 보안의 공존
12월은 한 해를 마무리하는 시기이자, 내년의 기술 트렌드를 가장 먼저 접할 수 있는 달이기도 합니다. 이번 달에는 AWSKRUG AI IDE Kiro Launch Party, OWASP Seoul Chapter 송년회, 그리고 Datadog Security 101 세미
twodragon.tistory.com
3. Cloudflare: Edge 레벨의 보안 및 성능 최적화
애플리케이션 앞단에서 1차적인 방어막 역할을 수행하는 Cloudflare의 활용법을 다룹니다. AWS WAF와 상호 보완적으로 사용하거나, 단독으로 사용하여 강력한 엣지 보안을 구축할 수 있습니다.
- DDoS 방어 및 WAF: L3/L4 및 L7 계층의 공격을 엣지에서 차단하여 오리진 서버(AWS)를 보호합니다.
- CDN 및 SSL/TLS: 전 세계에 분산된 서버를 통해 콘텐츠 전송 속도를 높이고, 엄격한 SSL 모드를 통해 데이터 기밀성을 보장합니다.
- Cloudflare와 AWS S3/CloudFront 통합: 통합 CORS 구성 및 보안 최적화 가이드
Cloudflare, CloudFront, S3의 통합 CORS 구성 및 보안 최적화 가이드 🔐
CloudFront, Cloudflare, S3의 개념과 CORS의 필요성 및 보안적 위협요인에 대한 이해를 통합적으로 정리한 문서입니다.🔰 개념 및 보안 이슈 요약 ✅ Amazon S3란? Amazon S3(Simple Storage Service)는 AWS에서 제공
twodragon.tistory.com
4. 필수 실습 및 정리
이론을 넘어 실질적인 기술 내재화를 위해 다음과 같은 실습 자료를 참고하여 학습하시길 권장합니다.
- AWS Control Tower Workshop: 계정 자동 생성 및 가드레일 적용 실습
- Datadog Learning: https://learn.datadoghq.com/ (Security Labs 활용)
- AWS Security Group Study: AWSKRUG 보안 소모임 자료
이번 8기 5주차 과정은 AWS의 내부 통제(Control Tower, RCP)와 외부 모니터링(Datadog, Cloudflare)을 아우르는 End-to-End 보안 전략을 수립하는 데 중점을 두었습니다.
'* Twodragon > 보안 강의 (Course)' 카테고리의 다른 글
| 🚀 클라우드 보안 과정 8기 6주차: AWS WAF/CloudFront 보안 아키텍처 및 GitHub DevSecOps 실전 (0) | 2026.01.08 |
|---|---|
| 🚀 클라우드 시큐리티 8기 4주차: 통합 보안 취약점 점검 및 ISMS-P 인증 대응 실무 (0) | 2025.12.19 |
| 🚀 클라우드 시큐리티 8기 3주차: AWS FinOps 아키텍처부터 ISMS-P 보안 감사까지 완벽 공략! (0) | 2025.12.12 |
| 🚀 클라우드 시큐리티 8기 2주차: AWS 보안 아키텍처의 핵심, VPC부터 GuardDuty까지 완벽 정복! (0) | 2025.12.05 |
