More Related Content Similar to AWS Summit Seoul 2023 | 당신만 모르고 있는 AWS 컨트롤 타워 트렌드 (20) More from Amazon Web Services Korea (20) AWS Summit Seoul 2023 | 당신만 모르고 있는 AWS 컨트롤 타워 트렌드1. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
S E O U L | M A Y 4 , 2 0 2 3
2. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
당신만 모르고 있는
AWS Control Tower 트렌드
김석태
아키텍트팀, 매니저
㈜엔디에스 / Cloud Innovation Center
3. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
소개
1993 +400 2x
농심그룹의 종합IT서비스
기업 NDS입니다.
AWS 서비스를 제공하고
기술지원을 하는 고객 수
고객 구분 없이 경험 기반
맞춤형 MSP 기술 지원 및
빠른 컨설팅 진행
ADVANCED
CONSULTING PARTNER
▪ Public Sector
▪ Immersion Day
▪ Amazon RDS Delivery
▪ SAP Services Competency
▪ Managed Service Provider
▪ Oracle Services Competency
▪ Migration Services
Competency
▪ Well-Architected Partner
Program
▪ AWS Database Migration
Service Delivery
4. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS 는기존인프라사용의 한계와부담을극복하고
디지털 혁신을추구하며고객에게새로운 서비스를 제공하기
위한전략적플랫폼입니다.
5. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
01 02 03 04
운영 탄력성
사용자 폭증에 대비한
탄력적/안정적
인프라 구축 필요
개별 단위 업무 역할
분담으로 업무 효율성
도입 필요
비용 관리
클라우드 이전 및 아키텍처
최적화를 통한 효율적인
비용 관리
비즈니스 민첩성
급변하는 비즈니스 요건에
신속하게 대응 필요
업무 생산성
비즈니스와 기술의 급격한 변화에 확장 가능한 안정적 인프라 구현 필요
클라우드 마이그레이션 이점
6. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Top Threats for 2022
잘못된
구성
인터페이
스 및 API
취약점
액세스
권한 관리
소프트웨
어 취약점
타사
리소스
취약점
서버리스
및 컨테이
너 취약점
클라우드
보안 전략
미흡
클라우드
데이터
유출
시스템
취약점
부적절한
변경 제어
조직 범죄
해커
7. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
문서보안 회사에서 클라우드 서비스를 이용하고 있는 A사는 전산 담당자는 주말 사이
비정상적인 클라우드 이용이 감지됐다는 메일을 받았다. 관리 계정에 들어가보니,
클라우드 3일치 이용료 5천만원 이라는 과금 내역이 찍혀 있었다.
IDaaS 서비스 인프라가 구축된 B사의 데이터베이스 사용자 정보가 유출이 되었다. AWS
액세스키 웹 토큰 중 하나가 노출이 되었고, 공격자는 인스턴스 몇 개를 만들어 보고,
자신들의 공격을 인지했는지 살펴본 뒤 다양한 유형의 키에 대한 정보가 포함된
데이터베이스 테이블을 액세스 할 수 있는 권한을 획득했다.
8. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
우리 앞의 위기와
이를 극복하기 위한 전략
9. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Icon Description
Parents & Family
Control Tower Master Account
AWS Organizations & OU
Bed & Crib(bassinet)
Preventive Guardrail (SCP)
Detective Guardrail
(AWS Config)
Baby & Children
AWS Account
AWS IAM & Resource
Toy
AWS Network & Security
Monitoring
Other Environment
Scalable Security Design
Adoptable Dashboard
Mapping
AWS Control Tower 이해하기
AWS CLOUD 보안 설계 이해하기
10. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Control Tower 4가지 개념
AWS CONTROL TOWER 중앙 집중 개념
AWS Organizations
Account Factory와
AWS Organizations을
사용한 Multi Account
관리 전략
SCP & AWS Config
보안 규정 준수를 위한
Preventive, Detective
Guardrails 관리
IAM Identity Center
(SSO)
사전 승인된 계정
구성으로 사용자 및
역할 권한 관리
Monitoring
Guardrails 준수 여부
및 비용 등의
모니터링을 위한 단일
Dashboard
11. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ORGANIZATIONS(조직): 다중 AWS 계정을 조직으로 통합하여 관리 가능
AWS Organizations
Seoul Region
Root OU
Management
Prod OU
Security OU
운영
Audit
Log Archive
Organizations
IAM Identity Center
(SSO)
Config
KMS GuardDuty
운영
운영
Stage OU
검증
검증
검증
Dev OU
개발
개발
개발
Macie
Inspector
CloudFormation
S3 Archive
Amazon S3
Amazon S3
Account Factory
AWS Cloud
AWS Organizations
중앙집중식모니터링및알림을
사용한빠른 보안 대처
모범사례기반으로미리
구성 된 안전하고 확장 가능한
다중 계정 환경
AWSControl Tower 구성 및
Organizational Unit(OU) 기반으로
맞춤형정책 적용
12. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
사용하는 리전(서울)을
제외한 타 리전 활동 차단으로 피해 최소화
AWS Control Tower를 사용하기 전
바로 진행할 수 있는 TIP
13. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
NotAction 요소를 사용하여 차단 권한이
해당 Policy에서 면제되는 서비스를 나열함
Condition 요소를 사용하여
차단하지 않을 리전을 명시
Amazon CloudFront와 같은 글로벌
서비스와 함께 사용하려면 SCP의
글로벌 서비스 제외 목록에 포함 필요
14. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Organizational
unit
Organizational
unit
AWS Organizations
Root
Account Account Account
SCP (Output : JSON)
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAllOutsideEU",
"Effect": "Deny",
"NotAction": [
"cloudfront:*",
"route53:*“,
] ,
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [
"us-east-1",
"ap-northeast-2"
],
}
NotAction 요소
Condition 요소
- Amazon Cloudfront
- Amazon Route 53
- AWS IAM
- AWS WAF
- ETC
- 서울 리전
- 버지니아 리전
- ETC
AWS Region 비활성화 로직
SCP
15. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ap-northeast-2
us-east-1
us-west-1
eu-central-1
AWS Region Deny
A W S C O N T R O L TO W E R R E G I O N D E N Y S E T T I N G
16. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Preventive Guardrail,Detective Guardrail
가드레일 설정을 통해, GOVERNANCE 준수
Security OU
AWS Organizations
Root
Dev OU
Stage OU
Prod OU
항상 준수
AWS Config
SCP
준수 및 미준수
탐지
Guardrail
SCP & AWS Config
보안 규정 준수를 위한
Preventive, Detective
Guardrails 관리
Preventive
Guardrail
Detective
Guardrail
17. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Category Behavior Guidance Describe
Audit logs Prevention Mandatory Disallow deletion of log archive
Audit logs Prevention Mandatory Disallow configuration changes to CloudTrail
Operations Detection
Strongly
recommended
Detect whether Amazon EBS volumes are
attached to Amazon EC2 instances
Network Detection
Strongly
recommended
Detect whether unrestricted internet
connection through SSH is allowed
Data residency Prevention
Landing zone
settings (Elective)
Deny access to AWS based on the requested
AWS Region
Guardrail Control List
18. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Config
정보보호관리체계(ISMS : INFORMATION SECURITY MANAGEMENT SYSTEM) 인증
19. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Control ID AWS Config Rule
2.3.3 cloud-trail-cloud-watch-logs-
enabled
2.5.1 access-keys-rotated
2.5.1 iam-user-mfa-enabled
2.6 restricted-ssh
2.9.3 rds-instance-deletion-
protection-enabled
AWS Config K-ISMS
AWS CONFIG 규정 준수 팩 배포
20. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS IAM Identity
Center
Audit
Account
Log
Account
PROD
Account
Stage
Account
Dev
Account
User
AWS IAM Identity Center
AWS IAM IDENTITY CENTER : 다중 AWS 계정을 통합하여 관리 가능
Dev
Read Only
Admin
Billing
21. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Audit
Security OU
AWS Organizations
Root
Audit Log
Prod OU
A-PRD
.
.
.
Stage OU
A-Stage
.
.
.
Dev OU
A-DEV
.
.
.
Amazon Athena
CloudTrail &
AWS Config Logs
Amazon
QuickSight
Monitoring
Guardrails 준수 여부 및
비용 등의 모니터링을
위한 단일 Dashboard
AWS Control Tower Compliance Monitoring
MULTI-ACCOUNT의 가드레일 준수, OU 및 계정 현황 등을 통합 DASHBOARD를 통해 관리 가능
SCP SCP SCP SCP
22. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Compliance status
Noncompliance by
account
Noncompliant
resource type
AWS Control Tower – Amazon QuickSight 연동
23. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Account
AWS Config
Config rule
User
AWS Control Tower – AWS Config Notification
무심코 열어두었던 권한을 관리
NON_COMPLIANT
상태일때만 알람전파
{"source": [ "aws.config" ],
"detail-type": [ "Config Rules Compliance Change“ ],
"detail": {
"messageType": [ "ComplianceChangeNotification" ],
"newEvaluationResult": { "complianceType": [ "NON_COMPLIANT" ] }
IAM Role Trusted Policy (Output : JSON)
Amazon
EventBridge
Amazon SNS
AWS Chatbot
24. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
농심 차세대 마이그레이션
도입 사례
25. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
농심 차세대 SAP 마이그레이션- IT InfraCloud전환
SAP ERP 시스템 업무처리 자동화 및 현장 편의성 강화하고, 유연성 및 확장성 확보
차세대 SAP S/4 HANA ERP 구축
영업 구매 생산 관리 회계
SCM – APS 솔루션 도입 SAP 경영관리 솔루션 (BI – Business Intelligence / EIS + DW) 도입
영업
(인트라넷)
MDM –
Master Data
Management
EIS - Enterprise Inventory and
Service-Level Optimization
DW – Data Warehouse
차세대 인트라넷 기술 표준화
영업
(모바일등)
구매 및 자재 생산 설비 회계 및 경영
수출 수입 물류 품질 및 연구 투자
AWSCloudMigration
AWSControlTower NDSMSP (ManagedServiceProvider)
+
26. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
농심 차세대 SAP 마이그레이션- IT InfraCloud전환
컨트롤타워를 사용하여 보안 가드레일이 적용된 조직간 독립된 계정 제공
SECURITY INCIDENT GOAL
0%
컨트롤타워 도입 효과
• 목적에 맞는 OU 및 Guardrail로 정책이 적용된 계정 컨트롤
• 리소스의 잘못된 보안 설정 감소
• 중앙관리 된 침입, 취약점, 이상행위 탐지 및 Notification
• 백업,암호화 및 인증키 중앙관리
• Region 활성화 관리
농심 차세대 SAP OU
농심 AI/ML & DT OU
NDS Control Tower
MGMT OU
Root
27. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Thank you!
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved.
발표자 컨택 정보
(soul0@nongshim.co.kr)