[AWS] 개념 정리

AWS

[AWS] 개념 정리

_JIONE_ 2024. 1. 30. 00:20

💡 Access

IAM

인증 및 권한 관리 서비스

Roles: 사용자, 서비스에 대한 액세스 권한 관리, Policy의 집합
Policy: 사용자, 서비스에 대한 권한 부여
Group: 여러 사람에게 동일한 액세스 권한 부여 및 관리
User: AWS 계정 하나

Congito

사용자 인증 및 권한 부여를 위한 서비스

웹 및 모바일 애플리케이션에서 사용자 인증과 권한 부여를 쉽게 구현 가능
완전 관리형 서비스
사용자 계정 관리, 인증, 권한 부여 및 동기화를 위한 API와 SDK를 제공
SAML 및 OAuth와 같은 표준 기반 프로토콜 지원
MFA, 사용자별 패스워드 정책, 비밀번호 해시와 같은 보안 기능 제공
Amazon Cognito User Pools 및 Amazon Cognito Identity Pools 두 가지 유형 제공

Directory Service

AWS에서 제공하는 관리형 디렉토리 서비스

온프레미스와 AWS 클라우드 리소스간의 하이브리드 환경에서 Microsoft Active Directory를 호스팅
관리형 AD ( Active Directory )
AWS에서 AD 관리와 유지보수를 대신해줌
AWS Managed Microsoft AD, AD Connector, Simple AD 3가지 타입으로 제공

Contrl Tower

AWS 계정, VPC 및 계정 중앙화 서비스를 자동화하고 통합하여 AWS 최적화를 지원하는 서비스

멀티 계정 환경에서 AWS 리소스를 안전하게 설정하고 준수 규정을 준수할 수 있다.

멀티 AWS 계정 구성
AWS 리소스의 보안 구성
AWS 리소스 준수 규정 준수
계정 모니터링 및 보안 관리

💡 Compute

EC2

클라우드에서 확장 가능한 컴퓨팅 제공

EC2를 리조트라고 생각하면,

On-Demand : Walk-In. 그냥 주말에 쉬려고 예약도 안하고 리조트에 가서 방을 잡는 것
Reserved : 리조트 방 1개를 1년 ~ 3년 회원권을 구매
Savings Plans : 월 300달러만큼만 리조트에서 지낼거야. 근데 나중에 바꿀수도 있다 (대신 1년 ~ 3년 약정)
Spot Instance : 떨이. 예약 잘 안되는 방 (전망이 안좋다던가..)을 입찰받아서 싸게 내놓는다. But, 나보다 돈 더내겠다 는 사람이 나오면 나가야한다. batch Job, stateless, 안정성 낮음
Dedicated Hosts : 만수르 옵션. 리조트 걍 통째로 빌린다 💰
Capacity Reservations : 내가 리조트 갈지 안갈진 몰겠는데 일단 예약

EBS

EC2에 연결된 블록 스토리지 서비스

Single AZ
기본적으로 EBS 1개는 1개의 EC2에 연결가능
특정 조건 만족하면 Multi Attach 기능을 통해 여러대 EC2 연결 가능 (최대 16개)
Fast Snapshot Restore ⇒ 데이터 복제 개빠름 === 개비쌈

EFS

클라우드 기반 파일 스토리지 서비스

Multi AZ
높은 가용성
Windows 지원안함
최대 저장 90일
여리 인스턴스에 마운트되어 concurrent access
- cf. S3도 concurrent access 가능, but 더 cost-effective

💡 High Availability & Scalability

ELB

ALB
- Layer 7
- HTTP/HTTPS, Web socket
- IP 주소 변동
- IP주소+포트+패킷 내용
- SSL(연결 암호화할때 사용되는 소켓) 적용 가능
NLB
- Layer 4
- TCP / UDP
- AZ당 하나의 Static IP
- SSL 적용 불가능
- IP주소+포트
- ALB보다 빠른 통신
- 짧은 시간 내 스파크성 발생 대응 가능, 대규모 트래픽
GWLB
- VPC 끼리의 통신
- 방화벽 사용 가능

ASG

수요에 따른 자동 확장 그룹 서비스

💡 Network

Route53

DNS(domain name system) 서비스

고가용성, 확장성을 제공하여 DNS쿼리를 처리
DNS쿼리를 처리하기 위한 네임서버들이 존재
Alias 기능을 사용하여 AWS 내부 서비스와 연동 가능

VPC (Virtual Private Cloud)

AWS에서 제공하는 가상 사설 네트워크 서비스

Subnet: VPC 내에서 IP 주소 범위
- AWS에서 5개의 IP를 고정으로 가져감
- 다른 네트워크랑 겹치지 않게 생성
Internet Gateway: VPC 내의 인스턴스와 인터넷 간의 통신을 가능하게
NACL / Security Group
- ACL - Stateless
  - 특정한 IP, Port, Protocol 허용
  - Deny 가능
- Security Group - Stateful
  - 특정한 IP, Port, Protocol 허용
  - Connection Tracking 지원
Route Table: 요청이 어디로 가야하는지 적혀 있음
Nat Instance / Nat Gateway
- Nat Instance
  - EC2 인스턴스를 NAT로 사용
  - 인스턴스를 직접 구성해야 함
  - Single-AZNAT Instance
- NAT Gateway
  - NAT 게이트웨이는 VPC에서 실행되는 인스턴스가 인터넷에 직접 연결되지 않고 프라이빗 서브넷에서 인터넷 연결을 가능하게
  - Only IPv4
  - Multi-AZ
  - 네트워크 대역폭이 45 Gbps로 제한
Bastion Host: 프라이빗 서브넷에서 SSH를 통해 접속할 수 있도록 허용하는 독립형 EC2 인스턴스
VPC Peering: 프라이빗 IPv4 또는 IPv6를 통해, 두개 혹은 여러개의 VPC를 연결하는 서비스
- 1:1 연결
- 다른 계정 또는 다른 지역에 있는 VPC와 연결 가능
- VPC Peering 후, 라우팅 테이블 업데이트
VPC Gateway Endpoint: 인터넷을 거치지 않고, VPC 내부에서 AWS 리소스들을 접근할 수 있게 해주는 서비스
- S3, DynamoDB만 가능

Gateway

Internet Gateway: 인터넷 게이트웨이는 VPC와 인터넷 사이에서 트래픽을 라우팅하는데 사용되는 게이트웨이
- VPC Level에서 작동
NAT Gateway: NAT 게이트웨이는 VPC에서 실행되는 인스턴스가 인터넷에 직접 연결되지 않고 프라이빗 서브넷에서 인터넷 연결 지원
- Only IPv4
Egress-only Internet Gateway: Egress-only 인터넷 게이트웨이는 인터넷에서 VPC로 나가는 연결 지원
- IPv6 지원
API Gateway: API를 구축, 배포, 운영 및 유지 관리하는 데 사용할 수 있는 완전 관리형 서비스
Transit Gateway: VPC와 다른 VPC 또는 온프레미스와 같은 다른 네트워크 사이에 게이트웨이 역할
- 트래픽 중앙집중화
Virtual Private Gateway: VPN 또는 Direct Connect와 같은 온프레미스 네트워크와 VPC 사이의 연결 지원
Customer Gateway: VPN site-to-site connection 에서 고객측에 설치된 VPN 디바이스
Storage Gateway: AWS 내의 AWS S3와 온프레미스 인프라를 이어주는 역할
- On-premise, low-latency / instant access 라는 키워드
- File Gateway, Volume Gateway, Tape Gateway
- File Gateway
  - 최대 1Gbps
  - 오프라인 데이터를 S3 마이그레이션
  - 파일을 s3에 저장. NFS(리눅스)/SMB(윈도우)를 사용함. S3로 이동 후엔 원래 S3에서 행하던 (람다 이벤트, 버저닝 등)것들 그대로 사용가능
- Volume Gateway
  - iSCSI를 통해 데이터를 받고 비동기적으로 EBS 스냅샷형식으로 저장. 이전 스냅샷에서 변경되는 부분만 저장하는 장점
- Tape Gateway
  - 이미 있는 tape기반 백업 어플리케이션을 위해 존재하는 서비스. iSCSI 디바이스로 백업

CloudFront

사용자로부터 가까운 edge location을 사용하여 빠르고 안정적인 콘텐츠를 전송하는 서비스

콘텐츠를 엣지 로케이션에 미리 캐싱하여 읽기 성능을 높임
OAC (Origin Access Control): S3버킷에 CloudFront만 접근 가능하게 하는 방법
Global CDN (콘텐츠 전송 네트워크)
DDoS 공격 방어 가능
HTTP/HTTPS 지원 (UDP 지원X)
Geolocation Restriction 가능
시험에서 DNS를 본다면 CloudFront

Global Accelarator

전 세계에 분산된 엔드포인트를 연결하는 서비스 (UDP Level)

TCP/UDP를 통해 글로벌 어플리케이션 가용성 및 성능 향상
game(UDP) , IoT(MQTT), VoIP와 같은 non HTTP 에 적합
NO caching
routing request via least latency
static IP address 제공

DX (Direct Connect)

온프레미스에서 AWS 전용 네트워크로 연결하는 서비스

최대 10Gbps
인터넷 / VPN connect 필요없이 사설망 연결
최소 1달 걸림

VPN (Virtual Private Network)

온프레미스와 AWS 클라우드 사이의 암호화된 인터넷 VPN 연결을 제공

경우1. DX를 사용해서 암호화한 내용으로 네트워크 통신할 때

경우2. private IP를 사용해서 네트워크 통신할 때

Site-to-Site VPN
- 온프레미스와 VPC 간의 연결을 설정
- IPsec 기반의 VPN 연결을 사용
Client VPN
- 사용자와 VPC 간의 연결을 설정
- OpenVPN 기반의 VPN 연결을 사용
AWS VPN CloudHub + VPN Transit Gateway
- 다수의 Site-to-Site VPN 연결을 중앙 집중화
- VPN CloudHub를 사용하여 다수의 온프레미스 사이트와 AWS 리전 간의 연결을 구성
- VPN CloudHub는 동적 또는 정적 라우팅을 사용하여 다수의 VPN 연결을 처리

💡 Severless

서버를 구축하지 않고도 웹 애플리케이션을 개발 및 배포할 수 있는 컴퓨팅 서비스

Lambda, API gateway, S3, DynamoDB, SNS, SQS, Kinesis, Cognito

Lambda

AWS의 대표적인 서버리스 컴퓨팅 서비스

시간제한 있음 (15분)
메모리 할당량 128MB ~ 10GB
컴퓨팅 리소스를 고정 보유할 필요X
이벤트 기반 리소스
AWS 서비스와 사용자 지정 코드의 자동 확장
비동기 작업을 위한 AWS Lambda 함수
Lambda@Edge: 서버리스하게 글로벌 AWS 엣지 로케이션에서 코드를 실행 > 지연시간 최소화

💡 Data

S3

객체 스토리지 서비스로 정적 파일을 저장하는데 쓰이는 데이터베이스

Region: S3는 글로벌 서비스로 리전X
S3 Transfer Acceleration: Client와 S3 버킷간의 장거리 파일을 빠르게 전송 가능
Storage Class
- General Purpose(Standard): 빈번한 데이터 액세스
- Intelligent-Tiering: 자주 액세스하는 데이터와, 자주 액세스하지 않은 데이터를 알잘딱해서 분류, 액세스 패턴 예측 X
- One-zone IA: 단일 AZ에 저장
- Infrequent Access: 자주 접근하진 않지만 빠른 접근 요구
- Glacier Storage: 긴 보존기간이 필요한 경우 사용
AWS Volume Gateway: S3에서 온프레미스 데이터를 자동으로 저장 및 관리하며, 캐시 모드 또는 저장 모드로 작동
AWS Tape Gateway: 백업 데이터를 비용 효율 및 내구성이 좋은 방식으로 Glacier 또는 Glacier Deep Archive에 보관

RDS (Relational Database Service)

AWS가 제공하는 관계형 데이터베이스로 빠르고 안정적인 읽기데이터와 백업을 제공

Multi-AZ
RDS-Proxy: RDS에 대한 안전하고 확장 가능한 클라이언트 액세스를 위한 데이터베이스 프록시 서비스
- 초기 액세스 시간 단축
- 신속한 확장성: 수천개의 동시 연결 지원
- 안정성: 재시작에도 연결 유지
- 보안: IAM, VPC, 인증 및 암호화 지원
- Lambda와의 통합
  - RDS Proxy를 이용하면 Lambda 함수에서 RDS에 대한 연결을 관리할 필요X
  - Lambda 함수는 RDS Proxy 엔드포인트로 연결하고, RDS Proxy는 연결을 관리
  - Lambda 함수의 확장과 데이터베이스 연결의 확장이 함꼐 이루어짐
- Aurora Severless와의 통합
  - Aurora Severless 클러스터에 대한 진입점으로 사용
  - 요청수에 따라 자동으로 확장 / 축소
  - IAM 및 VPC 통합 지원

Aurora

클라우드에 최적화된 데이터베이스로 RDS보다 더 높은 가용성, 트래픽 처리 가능

Only MySQL, Postgres SQL
높은 가용성
Global Aurora - 여러 리전 지원

ElastiCache

AWS에서 제공하는 인메모리 캐시 서비스

Redis, Memcached 두가지 엔진을 지원
높은 확장성과 성능을 제공
Cache Cluster를 구성하여 캐시 서버를 운영
Cache Node를 추가하여 확장 가능

DynamoDB

완전 관리형 NoSQL 데이터베이스로, 매끄러운 확장성을 제공하며 빠르고 예측 가능한 성능 제공

JSON데이터와 찰떡
테이블로 구성
항목의 최대 크기는 400KB로 큰 객체 저장X
스키마를 빠르게 전개할 때 유용
DAX (DynamoDB Accelerator): 완전 관리형 In-Memory Read Performance를 향상시켜주는 인메모리 캐시 서비스
DynamoDB Stream: 테이블의 실시간 데이터 변경사항 이벤트를 캡처하는 기능
DynamoDB Global table: 애플리케이션이 모든 리전에서 테이블을 읽고 쓰기 가능

DocumentDB

AWS에서 제공하는 완전관리형 MongoDB 대체형 서비스

Nepture

그래픽 데이터베이스를 제공하는 완전 관리형 서비스 (ex. 인스타그램)

Keysapces

Apache Cassandra를 기반으로 하는 완전히 관리되는 NoSQL 데이터베이스

QLDB

Amazon Quantum Ledger Database(QLDB)는 전세계적으로 분산되어 있는 중앙 집중식과 같은 Ledger 데이터베이스

반복 불가능
변조되지 않는 것을 보장

TimeStream

인터넷에서 수집되는 대규모 시계열 데이터를 저장, 처리, 쿼리할 수 있는 데이터베이스

Snowball

오프라인 데이터를 S3으로 물리적으로마이그레이션

최대 100Gbps
택배로 마이그레이션에 필요한 장비를 주고받기에 7~10일 소요
네트워크 연결이 안좋을 때, 데이터를 transfer

FSx

완전관리형 파일시스템 서비스로, Windows 및 Lustre 파일 시스템 지원

DataSync

온프레미스 시스템과 AWS 또는 AWS 서비스 간의 예약 및 자동화된 데이터 전송을 지원하는 서비스

DataSync 에이전트 필요
파일 권한 및 메타데이터 보존
NFS 또는 SMB 서버, HDFS에 연결할 때 사용
인터넷 연결이 끊겨도 재시작 가능

💡 Analytics

Athena

비정형 및 정형 데이터를 간편하게 분석하기 위한 대화형 쿼리 서비스 (서버리스 SQL)

S3에 저장된 데이터를 Serverless SQL을 사용하여 분석하는데 적합

Redshift

매우 대형의 데이터 집합을 처리하고 분석할 수 있는 데이터 웨어하우스 서비스

OLAP (Online Analytical Processing) 을 위한 SQL 기반 데이터베이스
새로운 RedShift 클러스터에 스냅샷 복원 가능
Columnar Storage를 사용하여 분산 클러스터를 형성
대용량 데이터를 분산 처리
비용 효율적으로 대용량 데이터를 분석
Amazon S3 및 Amazon DynamoDB에서 데이터를 불러옴

OpenSearch

분산형 검색 및 분석 엔진 서비스

Elasticsearch와의 호환성 제공
부분적으로 일치하는 필드를 포함해 모든 필드 검색 가능
서버리스 아키텍처 제공
높은 확장성과 성능을 제공

EMR (Elastic Map Reduce)

완전 관리형 Hadoop 클러스터 및 Spark 클러스로 빅데이터 처리에 적합

Hadoop 클러스터가 있는 빅데이터와 관련된 내용이 나오면 EMR

QuickSight

비지니스 분석 시각화 서비스

BI DashBoard 제작, 분석 시각화 가능
S3 및 RDS등의 데이터 원본 연결 가능
Athena와 같은 서비스와 연동하여 쿼리 가능
AWS 내부 서비스 및 외부 데이터 소스 지원
UI를 통한 데이터 관리

Glue

서버리스 완전 관리형 ETL (Extract, Transform, Load) 서비스

AWS Management Console 또는 API를 사용하여 ETL 워크플로우를 생성, 실행 및 모니터링
Glue Data Catalog를 사용하여 데이터를 검색하고, ETL 워크플로우에서 사용
AWS Glue를 사용하여 S3, JDBC, DynamoDB, Aurora, RDS 등 다양한 데이터 소스에서 데이터를 추출하고, 변환하여 다른 데이터 저장소 또는 분석 도구로 이동

💡 Machine Learning

Rekognition: 이미지 및 비디오에서 객체, 얼굴 및 텍스트를 검색하고 분석
Transcribe: 오디오 및 비디오 파일에서 자동으로 음성을 텍스트로 변환
Polly: 텍스트를 음석으로 변환
Translate: 텍스트 다국어 번역
Lex: 챗봇, 음성인식 기능을 개발
Connect: 콜센터를 쉽게 구축하고 관리
Comprehend: 텍스트 분석 서비스로, 감정 분석, 언어 감지, 토픽 모델링 등의 기능 제공
SageMaker: 머신러닝 모델을 쉽게 구축하고 운영할 수 있는 서비스
- SageMaker Studio를 사용하여 노트북 인스턴스를 생성하고 Jupyter Notebook을 실행
Forcast: 머신러닝을 사용하여 시계열 예측 모델을 쉽게 생성 후 배포
Kendra: 기업 내부 지식 검색 엔진 구축
Personalize: 머신러닝을 사용하여 개인화 추천 모델을 쉽게 생성 후 배포
Textract: 이미지 또는 PDF 파일에서 텍스트와 데이터를 추출

💡 Decoupling

Decoupling은 서로 무관한 컴포넌트로 분리하여 시스템을 구성 (생산자, 소비자)

SQS

완전 관리형 분산 메시지 큐서비스로 소비자와 생산자를 분리하는 일종의 버퍼 역할

3,000msg/sec - 10,000msg/sec 까지 확장 가능
최대 256KB/msg
Message Visibility Timeout: 소비자가 특정 메시지를 폴링시 해당 메시지는 다른소비자에게 보이지X
- 기본으로 visibility time == 30초
- visibility time을 넘을 경우, 해당 메세지는 큐에 다시 보여짐
- 메세지 처리 시간이 오래걸릴 경우, ChangeMessageVisibility API를 호출하여 SQS에 알릴 것
Long Polling: 클라이언트가 서버에 요청을 보낸 후, 서버가 메시지를 수신할 때까지 기다리는 기능, 불필요한 요청 감소
SQS - FIDO Queue: 큐 메시지 순서보장 및 중복 방지 기능
Best effort ordering: SQS에서 처리되는 메시지들의 처리 우선순위 지정 가능

SNS

푸시 알림, 이메일, SMS 등 다양한 방법으로 알림 메시지를 전송하는 완전관리형 AWS 서비스

Kinesis

스트리밍 데이터 서비스 (실시간X)

Kinesis Data Streams: 대규모 데이터를 실시간으로 수집 및 저장
- Stream으로 구성, 1개의 Stream엔 여러개의 샤드 존재
- 1샤드 - 1MB/sec or 1000 msg/sec ⇒ 샤드가 많을 수록 빠른처리 가능
- 낙장불입 - 데이터가 들어오면 삭제불가
Kinesis Data Firehose: 스트리밍 데이터를 S3, Redshift, Open Search 등으로 전달
- 데이터 변형 지원
- 거의 실시간
Kinesis Data Analytics: 스트리밍 데이터를 분석

MQ

온프레미스 환경 간의 관리형 메세지 브로커

온프레미스 환경에서 사용하던 코드를 그대로 클라우드에 옮김
MQTT, STOMP 등의 다양한 프로토콜 지원

💡 Container

ECS (Elastic Container Service)

Docker 컨테이너를 쉽게 배포, 운영할 수 있는 AWS의 완전 관리형 서비스

ECS 클러스터를 만들어 Docker 컨테이너 시작
ECS 클러스터는 EC2 인스턴스에 배치
Fargate를 사용하여 서버리스 컨테이너 실행 가능

ECR (Elastic Container Repository)

Docker 컨테이너 이미지를 저장, 관리 및 배포하는 완전 관리형 서비스

Docker CLI, ECR API, CodeBuild 등의 통합을 지원
VPC 와 통합하여 보안성을 강화
컨테이너 이미지의 버전 관리가 가능
AWS Fargate에 대한 네이티브 통합 지원

EKS (Elastic Kubernetes Service)

EKS는 AWS에서 제공하는 Kubernates를 사용하는 클러스 관리 서비스

Kubernetes를 사용하여 Docker 컨테이너를 배치하고 관리
Kubernetes 클러스터를 쉽게 배포하고 운영
EKS 클러스터는 EC2 인스턴스에 배치
Fargate를 사용하여 서버리스 컨테이너 실행 가능

App Runner

코드 저장소에서 애플리케이션 소스를 가져와 자동화된 빌드 및 배포 프로세스로 서버리스 애플리케이션을 빠르고 쉽게 배포할 수 있는 완전 관리형 서비스

Docker 컨테이너 또는 코드 저장소에 있는 코드를 사용하여 애플리케이션을 빌드하고 배포
AWS App Runner는 HTTP 또는 HTTPS 프로토콜을 통해 트래픽을 라우팅
사용자는 AWS App Runner 콘솔에서 애플리케이션 파라미터를 구성하여 애플리케이션을 배포
AWS App Runner는 AWS Fargate를 기반으로 하므로 서버리스 컨테이너 실행

Fargate

Amazon EC2 인스턴스의 서버나 클러스터를 관리할 필요 없이
컨테이너를 실행하기 위해 Amazon ECS에 사용할 수 있는 컴퓨팅 엔진

컨테이너를 직접 관리하지 않고, CPU, 메모리, 네트워크 리소를 지정하면 Fargate가 자동으로 컨테이너를 실행 및 관리
AWS Fargate를 사용하면 인프라 관리가 필요 없으므로 빠르게 배포 및 스케일링 가능

💡 Monitoring

CloudWatch

온프레미스, 클라우드 환경의 리소스 및 애플리케이션 모니터링

EventBridge

AWS에서 다양한 이벤트에 대한 처리를 쉽게 구성, 이벤트 처리를 위한 자동화된 경로 제공

이벤트 소스는 AWS 서비스(S3, CloudTrail 등) 또는 외부 서비스(Zendesk, Datadog 등)
이벤트를 대상으로하는 애플리케이션은 AWS 서비스(Lambda, SNS 등) 또는 외부 서비스(PagerDuty, Slack 등)
AWS EventBridge는 이벤트의 무결성 및 중복 처리를 보장합
이벤트를 기반으로 룰(Rule)을 정의하여 이벤트를 필터링하고, 대상 애플리케이션에 전송 가능
AWS EventBridge는 CloudWatchEvents의 후속 버전으로, 이전 버전과 호환

CloudTrail

AWS 계정 내에서 이루어지는 모든 활동을 기록, 모니터링 할 수 있는 서비스

Config

AWS 리소스의 구성을 평가, 감시

구성 변경 사항 모니터링 가능 (제한은 불가)

💡 기타서비스

SES (Simple Email Service): 이메일을 수신자의 스팸함에 걸리지 않고 안전하게 전송할 수 있는 이메일 서비스
Pinpoint: AWS에서 제공하는 고객 참여 및 리텐션 관리 서비스
Session Manager: SSH, SCP, SFTP, RDP와 같은 원격 접속을 AWS console에서 할 수 있는 서비스
- AWS IAM을 사용하여 액세스 제어
- 방화벽 또는 NAT Gateway를 통해 인터넷에 연결되지 않은 EC2 인스턴스에도 액세스 가능
Cost Explorer: AWS에서 제공하는 비용 관리 서비스
Elastic Transcoder: AWS에서 제공하는 비디오 변환 서비스
Batch: AWS에서 제공하는 대규모 컴퓨팅 작업을 자동화할 수 있는 서비스
AppFlow: 서비스 간 데이터 이전을 자동화하는 완전 관리형 서비스
RPO (복구시점목표) & RTO (복구시간목표): RPO와 RTO 낮을 수록 좋으며 비쌈

💡 Security & Encryption

KMS (Key Management Service)

AWS에서 제공하는 Key 관리 서비스

데이터 암호화키를 생성하고, 키 관리, 암호화, 복호화를 수행할 수 있는 서비스
자체적으로 생성한 암호화키를 사용하여 데이터를 암호화, 복호화
AWS에서 사용하는 대다수의 서비스 암호화에 사용되는 서비스
CloudTrail을 통해서 키를 사용하기 위해 호출한 모든 API 감사 가능
audit, key rotation과 같은 키워드

Secrets Manager

AWS에서 제공하는 Secrets 관리 서비스

RDS와 Aurora의 통합 또는 암호에 대한 내용은 Secret Manager
Automatic Rotation 기능 제공
버전 관리 기능을 제공
비밀번호, 데이터베이스 연결 정보, API Key, OAuth 토큰과 같은 데이터를 암호화하고 관리하는데 사용

ACM (AWS Certification Manager)

AWS에서 제공하는 인증서 관리 서비스

SSL/TLS 인증서를 자동으로 발급, 관리, 배포할 수 있는 서비스
AWS 리소스와 외부 리소스 모두에서 사용 가능
AWS 리소스로부터 SSL/TLS 인증서를 자동으로 발급하고 인증서의 만료 여부를 모니터링하여 인증서를 자동으로 갱신

WAF (Web Application Firewall) ⭐

웹 어플리케이션(L7) 보호를 위해 HTTP/HTTPS 트래픽을 분석 및 악성 트래픽을 필터링하는 서비스

ALB, API Gateway, CloudFront만 연결 가능
AWS WAF는 SQL Injection, Cross-Site Scripting(XSS), 백도어(Backdoor), 웹 쉘(Web Shell), 취약한 파일 업로드(Vulnerable File Upload) 등의 보안 위협으로부터 웹 어플리케이션을 보호
AWS WAF는 Amazon CloudFront와 통합하여 분산된 웹 어플리케이션을 보호
AWS WAF는 AWS Managed Rules 또는 Custom Rules를 사용하여 웹 어플리케이션을 보호

Shield ⭐

AWS에서 제공하는 DDoS 보호 서비스

AWS Shield Standard: 무료 서비스, AWS리소스에 기본적으로 셋팅
AWS Shield Advanced: 유료 서비스

Firewall Manager

AWS Organization에 있는 모든 계정의 방화벽 규칙을 관리하는 서비스 > WAF 규칙 관리

AWS Organization의 Account, VPC, Amazon CloudFront, AWS WAF와 같은 AWS 리소스에 대한 보안 정책 중앙 집중 관리가 가능
AWS WAF/IPSet을 사용하여 보안 정책을 적용
AWS Firewall Manager를 사용하여 AWS Resource의 보안을 중앙 집중 관리 가능
AWS 리소스에 대한 보안 정책 준수 여부를 평가하여 보고서 및 대시보드 제공
AWS Config를 사용하여 보안 정책 준수 여부를 자동 감시 가능

GuardDuty

AWS 전반의 위협 탐지

AWS 계정 내에서 이루어지는 모든 활동을 분석하여 위협을 탐지
Amazon S3, Amazon EC2, AWS IAM 등의 서비스에서 로그를 수집하여 분석

Network Firewall

VPC Level 방화벽, vpc 트래픽 검사 필터링

System Manager

온프레미스 및 AWS 클라우드에서 운영되는 하이브리드 인프라 관리 서비스

크로스 플랫폼 호환성: Linux, Windows 등의 다양한 운영체제 지원
인프라 관리 자동화: Patch Management, Automation, Run Command, State Manager 등의 자동화 기능 제공
확장성: 수백~수천 대의 인스턴스를 동시에 관리 가능

👀 Keywords

configuration changes
> AWS Config
CloudFront, accessible 제한

> OAI
Without connectivity to the internet.
> Private network 사용
Historical reports, Static content
> S3
PHP, 5xx
> Aurora, AMI ,spot fleet
amazon athena
> severless
reduce false alarms
> cloudwatch composite alarm
CloudFront : Video On Demand(VOD), live streaming video using HTTP
Global Accelerator : gaming(UDP), IoT(MQTT), Voice over IP(VoIP)
saas
> App flow
upload images to S3 through a single NAT gateway
> VPC endpoint
S3와 서버간의 연결을 '인터넷 통신 없이(do not traverse internet)' + 'cost-effective'하게 해야할 경우
> VPC endpoint
s3 bucket accidental deletion
> enable versioning, MFA Delete
고가용성 스토리지
> S3
Ap-northwest-3 region
> control tower, SCPS
SMB
> S3 file gateway
low-latency retrieval
> DynamoDB
Firehose does not suppport DynamoDB
ssd, database storage performance is the problem

> providioned IOPS SSD
Ensure that orders are processed in the order that they are received.
> SQS FIFO 사용
HPC
> FSx for Lustre
Containerzied application, scale, high available
> ECR, ECS, Fargate, on-demand
spot instance 가격 매우 쌈 = 언제든지 중지 = 임시작업에 사용
limit access to specific services, single point
> SCP(service control policy)
specific contry only
> geo match condition
> WAF
아마존 아테나(Amazon Athena)는 표준 SQL을 사용하여 아마존 S3의 데이터를 쉽게 분석할 수 있는 서버리스 대화형 쿼리 서비스
컨테이너화 , 운영 오버헤드 , 관리에 대한 관심이책임X
> Amazon ECS + AWS Fargate
부적절한 콘텐츠 감지
> Amazon Rekognition
개인 식별 정보(PI), 민감한 데이터
> AWS Macie
S3 + CloudFront / DynamoDB / Lambda
> 확장성
Amazon ECS
> 마이그레이션, 작은 프로그램으로 나누기, 운영 오버헤드 최소화
MySQL 읽기 전용 복제본 작업

> 원본 DB 인스턴스와 동일한 양의 컴퓨팅 및 스토리지 리소스
Rotate the credentials for ~ across multiple AWS Regions.
> Secret Manager을 통한 Multi-regin replication
Aurora DB 클러스트에 대한 볼륨 복제-Aurora 복제를 사용하면 동일한 Aurora 클러스터 볼륨 을 사용하고 원본과 동일한 데이터를 갖는 새 클러스터를 생성할 수 있다. Aurora 복제 작업은 데이터 손상 위험 없이 프로덕션 데이터를 사용하여 테스트 환경을 신속하게 설정하는 데 특히 유용하다.
액세스할 수 있도록 동일한 KMS 키를 파트너와 공유
> EBS 스냅샷 암호화
S3, 미국 유럽 공유, 데이터 전송비용 최소화
> S3 교차 리전 복제 (CRR)
JSON형식의 데이터
> DynamoDB
Auto Sacling Group은 동일한 사양, 환경 등(동일한 AMI)을 가지고 있는 EC2 인스턴스들의 그룹
> 고가용성
vpc 트래픽 검사 필터링
> aws network firewall
Multiple AZ ~ database ~ automatically scale ~
> Aurora 사용
Data visualization
> QuickSight 사용
Durable, stateless components to process the ~ automatically
> SQS 메세지 보존 기능
Third-party virtual firewall appliance from AWS Marketplace in an inspection VPC
> Gateway Load balancer 사용
Increase the Lambda quotas significantly to handle the high volumes of data
> SQS를 사용하면 데이터를 큐에 대기시켜 애플리케이션을 확장
Configuration changes
> AWS Config 사용
Minimize the effort of configuring and operating this check.
> AWS Config 사용
Client Side Webpage or Static Webpage
> S3 사용하여 배포
Data must be stored in a standard file system structure
> EFS 사용 (EBS, S3는 블록 스토리지)
Use Windows file shares
> FSx 사용
FSx for Lustre
> HPC
Data transfer fees ~ to reduce these costs
> Private 네트워크 사용
Launch template
> AMI 사용
Worried about accidental deletion of documents
> MFA 사용
Read replica or Cache ? 둘다 읽기 성능인데, 어떤 걸 선택?
> 반복적인 데이터/쿼리/콘텐츠는 캐시를, 그 외는 Read replica 사용
I/O 처리량 향상
> Storage 최적화 필요 (Memory 최적화X)
네트워크 성능 향상(throughput, IOPS, bustable 과 같은 키워드)
1. i/O throughput > Storage 최적화 필요 (Memory 최적화X)
- intance Store or EBS type
  > instance store : SSD 지원 스토리지 최적화 인스턴스 스토어의 경우 최대 365,000 IOPS
  > HDD EBS : 최대 500IOPS
  > 범용 SSD : 최대 16,000IOPS
  > SSD EBS : 최대 64,000IOPS
2. burtable → CPU usage
3. memory optimized → 메모리, I/O와 관련없음
4. compute → CPU
VoIP
> AWS Global Accelerator
CloudFront 배포를 사용하여 Amazon S3 버킷에 대한 액세스를 제한하는 방법
> CloudFront 원본 액세스 ID(OAl) 생성
손실되면 안되는 트랜잭션
> SQS 사용
고가용성 or 성능 향상 ?
> 다중 AZ 배포는 고가용성, replica는 성능 향상
CloudFront or Global Accelerator
> 콘텐츠 배포 or 트래픽 라우팅
대역폭 제한 마이그레이션
> Snowball 사용
online transfer, active data, ongoing data transfer
> DataSync 사용
네트워크 연결
> VPC Peering, Transit Gateway, Site to Site VPN, Direct Connect
AWS Snow Family (보안성이 뛰어난 휴대용 장치의 모음)
> 엣지에서 데이터를 수집 및 처리 - Snowcone, Snowball Edge
> AWS 안팎으로 데이터를 마이그레이션 - Snowcone, Snowball, Snowball Edge, Snowmobile
S3, 미국 유럽 공유, 데이터 전송비용 최소화

> S3 교차리전복제 (CRR) 사용

👀 Keywords 2

AWS EBS (Elastic Block Store)

- EBS볼륨은 한번에 하나의 인스턴스에만 붙일 수 있다

AWS cloudFront

- 웹 애플리케이션 방화벽 서비스인 AWS WAF를 사용하여 웹 액세스 제어 목록(웹 ACL)을 만들어 콘텐츠에 대한 액세스를 제한할 수 있다. 보안그룹 (Security Group)은 적용안됨(인스턴스에 적용 가능)

- 원본 액세스 ID(OAI)를 사용하여 Amazon S3 콘텐츠에 대한 액세스 제한 > 사용자가 S3 버킷에서 직접 액세스하지 않고 CloudFront를 통해서만 파일에 액세스할 수 있습니다.

- reographic restrictions 기능이 있어서 일부 국가에 대해서 엑세스 제한을 걸 수 있다.

- S3에서 데이터 요금이 많이 나올때 CloudFront의 캐쉬 기능으로 비용을 줄일 수 있다.

AWS WAF

- 교차 사이트 스크립팅(XSS) 차단

- 특정 사용자 에이전트, 특정 IP 주소로부터 트래픽을 차단

- 특정 요청 헤더를 포함하는 트래픽을 차단 또는 속도 제한

- 특정 국가만 허용

Amazon Aurora Multi-Master를 통한 고가용성 MySQL 애플리케이션 만들기

- 다중 마스터 클러스터의 모든 노드가 읽기/쓰기 노드이므로 Aurora 다중 마스터는 단일 쓰기 마스터를 가진 Aurora 보다 더 높은 가용성을 제공한다.

- 단일 마스터 Aurora를 사용하면 단일 쓰기 노드가 실패하면 읽기 전용 복제본을 새 쓰기 마스터로 승격시켜야하고, 이 시간 동안 가용성이 확보되지 않는다.

- Aurora 다중 마스터의 경우, 특정 쓰기 노드가 실패하면 다른 쓰기 노드에 대한 연결을 열기만 해도 된다.

Amazon Route 53 라우팅 정책

단순 라우팅 정책(Simple routing policy) - 도메인에 대해 특정 기능을 수행하는 하나의 리소스만 있는 경우(예: example.com 웹 사이트의 콘텐츠를 제공하는 하나의 웹 서버)에 사용합니다.
장애 조치 라우팅 정책(Failover routing policy) - 액티브-패시브 장애 조치를 구성하려는 경우에 사용합니다.
지리 위치 라우팅 정책(Geolocation routing policy) - 사용자의 위치에 기반하여 트래픽을 라우팅하려는 경우에 사용합니다.
지리 근접 라우팅 정책(Geoproximity routing policy) - 리소스의 위치를 기반으로 트래픽을 라우팅하고 필요에 따라 한 위치의 리소스에서 다른 위치의 리소스로 트래픽을 보내려는 경우에 사용합니다.
지연 시간 라우팅 정책(Latency routing policy) - 여러 AWS 리전에 리소스가 있고 왕복 시간이 적은 최상의 지연 시간을 제공하는 리전으로 트래픽을 라우팅하려는 경우에 사용합니다.
다중 응답 라우팅 정책(Multivalue answer routing policy) - Route 53이 DNS 쿼리에 무작위로 선택된 최대 8개의 정상 레코드로 응답하게 하려는 경우에 사용합니다.
가중치 기반 라우팅 정책(Weighted routing policy) - 사용자가 지정하는 비율에 따라 여러 리소스로 트래픽을 라우팅하려는 경우에 사용합니다.

AWS Global Accelerator

- anycast IP 사용: 신속하게 AWS 네트워크망으로 이동

- 글로벌 사용자에게 제공하는 네트워킹 서비스로 고정 IP 주소를 통해 고정된 진입점을 제공하고, 서로 다른 AWS 리전 및 가용 영역별로 특정 IP 주소를 관리하는 복잡성을 없앤다. AWS Global Accelerator는 애플리케이션 상태, 사용자의 위치 및 고객이 구성하는 정책의 변경에 즉각적으로 대응하여 항상 성능에 기반한 최적의 엔드포인트로 사용자 트래픽을 라우팅합니다.

- AWS Global Accelerator 표준 가속기에 대한 엔드포인트 그룹: 엔드포인트 그룹은 AWS Global Accelerator 에 등록된 엔드포인트로 요청을 라우팅한다. 엔드포인트 그룹과 이 그룹의 모든 엔드포인트는 하나의 AWS 리전에 속해야 한다.

AWS Redshift

Enable cross-Region snapshots. (교차리전 스냅샷. 재해 복구 위해)

Multi-AZ is not supported with RedShift. (Multi-AZ는 지원하지 않음)

no communication occurs over the internet between the instances

① AWS VPC와 On-premise의 연결 → VPN or DX (Direct Connect)

② AWS VPC와 AWS VPC의 1:1 연결 → VPC Peering

③ 다수의 AWS VPC 들과 On-premise 간의 연결 → TGW (Transit Gateway)

④ AWS VPC 내부 인스턴스와 AWS VPC 외부 서비스의 연결 → Internet Gateway, NAT Gateway (인터넷 경유 필요) / VPC Endpoint Interface(private link), VPC Endpoint Gateway (인터넷 경유 필요 없음, 예: VPC내 EC2와 외부 S3간의 안전한 연결)

언제 AWS DataSync를 사용하고 언제 AWS Storage Gateway를 사용?

- AWS DataSync를 사용하여 기존 데이터를 Amazon S3로 마이그레이션한 다음, 이후 AWS Storage Gateway의 파일 게이트웨이 구성을 사용하여 마이그레이션된 데이터 및 온프레미스 파일 기반 애플리케이션의 지속적인 업데이트에 대한 액세스를 유지한다.

AWS EC2

Placement groups 3가지

1. Cluster placement groups 클러스터 배치 그룹은 단일 가용 영역 내에 있는 인스턴스의 논리적 그룹입니다. 클러스터 배치 그룹은 동일한 리전의 피어링된 VPC에 걸쳐 적용될 수 있습니다. 동일한 클러스터 배치 그룹의 인스턴스는 TCP/IP 트래픽에 더 높은 흐름당 처리량 제한을 제공하며 네트워크의 동일한 높은 양방향 대역폭 세그먼트에 배치됩니다.

2. Partition placement groups 파티션 배치 그룹은 애플리케이션에 대한 상관 관계가 있는 하드웨어 장애 가능성을 줄이는 데 도움이 됩니다. 파티션 배치 그룹을 사용하는 경우 Amazon EC2는 각 그룹을 파티션이라고 하는 논리 세그먼트로 나눕니다. Amazon EC2는 배치 그룹 내 각 파티션에 자체 랙 세트가 있는지 확인합니다. 각 랙은 자체 네트워크 및 전원이 있습니다. 배치 그룹 내 두 파티션이 동일한 랙을 공유하지 않으므로 애플리케이션 내 하드웨어 장애의 영향을 격리시킬 수 있습니다.

3. Spread placement groups 분산형 배치 그룹은 각각 고유한 랙에 배치된 인스턴스 그룹이며 랙마다 자체 네트워크 및 전원이 있습니다. 분산형 배치 그룹에서 인스턴스를 시작하면 인스턴스가 동일한 랙을 공유할 때 장애가 동시에 발생할 수 있는 위험이 줄어듭니다. 분산형 배치 그룹은 별개의 랙에 대한 액세스를 제공하기 때문에 시간에 따라 인스턴스를 시작하거나 인스턴스 유형을 혼합할 때 적합합니다.

1) cluster: AZ 안에 instance들을 근접하게 패킹한다. - 짧은 네트워크 지연 시간 - 높은 네트워크 처리량

2) partition: instance를 논리적 파티션에 분산하여 한 파티션에 있는 인스턴스 그룹이 다른 파티션 인스턴스 그룹과 HW를 공유할 수 없다. -> 하둡, Cassandra, Kafka 등에 필요

3) 분산: 소규모 인스턴스그룹을 다른 HW로 분산하여 상호관련 오류를 낮춘다.

DDoS 공격을 감지하고 방어하기 위한 솔루션

A) Amazon GuardDuty : AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 상세한 보안 결과를 제공하여 가시성 및 해결을 촉진하는 위협 탐지 서비스. 공격 감지는 되나 방어가 되지 않음

B) Amazon Inspector : SW 취약성 및 의도하지 않은 네트워크 노출에 대해 AWS 워크로드를 지속적으로 스캔하는 자동화된 취약성 관리 서비스 => 방어X

C,D) AWS Shied : AWS에서 실행되는 application을 보호하는 DDoS 보호 서비스. AWS Shield Standard, Advanced 두 종류가 있음.

Backup 용량 계산

예) 500MBps, 700TB를 30일에 전송 가능한가?

초당 전송가능 용량 500 / 8 = 62.5 MB

30일 = 30 * 24 * 60 * 60 = 2592000 초

30일 전송가능 용량 = 62.5MB * 2592000 = 162187500MB = 154.67TB

네트워크로는 1개월 내에 700TB 전송 불가

Service Control Poliocy

- 조직의 권한을 관리하는 데 사용할 수 있는 조직 정책 유형입니다. SCP는 조직의 모든 계정에 사용 가능한 최대 권한을 중앙에서 제어합니다. SCP를 사용하면 조직의 액세스 제어 지침에 따라 계정을 유지할 수 있습니다. SCP는 활성화된 모든 기능을 가진 조직에서만 사용할 수 있습니다.

IAM - Use a cross-account role with an external ID

- AWS 리소스에 대한 액세스 권한을 서드 파티에 부여할 때 외부 ID를 사용 이따금 AWS 리소스에 대한 액세스를 타사에 부여해야 할 때가 있습니다(액세스 위임). 이 시나리오의 한 가지 중요한 부분은 IAM 역할 신뢰 정책에서 역할 수임자를 지정하는 데 사용할 수 있는 옵션 정보인 external ID 입니다.

Aurora

- Aurora 백업 보존 기간은 DB 클러스터를 생성 또는 설정 변경할 때 1일에서 35일까지 지정할 수 있습니다. Aurora 백업은 Amazon S3에 저장됩니다. -> 90일 백업은 AWS Backup 을 활용해서 수동 백업

AWS Inspector

- Amazon Inspector는 소프트웨어 취약성 및 의도하지 않은 네트워크 노출에 대해 AWS 워크로드를 지속적으로 스캔하는 자동화된 취약성 관리 서비스입니다.

- 신속하게 취약성 발견

- 패치 수정 우선순위 지정 (소프트웨어 패치, EC2) -규정 준수 요구 사항 충족

- 더 빠르게 제로 데이 취약성 식별

- Amazon EC2 및 ECR 모두에 대한 취약성 관리 솔루션을 하나의 완전관리형 서비스

- 클릭 한 번으로 AWS 워크로드에서 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 즉시 발견

AWS GuardDuty

- Amazon GuardDuty는 AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 상세한 보안 결과를 제공하여 가시성 및 해결을 촉진하는 위협 탐지 서비스입니다.

- 무단 활동 차단

- 지속적인 모니터링 및 분석 지원

- 포렌식 간소화

- Amazon Simple Storage Service(S3) 내 비정상적인 데이터 액세스, 악의적인 것으로 알려진 IP 주소에서의 API 호출 등으로부터 계정 및 데이터를 보호

AWS SQS

SQS 접근 권한을 부여하는 방법은 크게 두가지가 있습니다.

IAM Policy를 만들어 User, User group, Role에 부여하는 자격증명 기반 정책(Identity Based)과 AWS 리소스 자체에 접근 권한 정책을 정의하는 리소스 기반 정책(Resource Based)입니다.

리소스 기반 정책은 자격증명 기반 정책과 다르게 접근 가능한 대상을 Principal 항목에 명시함으로써 접근 대상을 관리할 수 있으며 S3, SQS, Glacier, KMS 등의 리소스에 적용할 수 있습니다.

"The other corporation want to poll the queue without granting access to its own account." 문제의 위와 같은 조건에 따라 자격증명 기반 정책이 아닌 리소스 기반 정책을 사용하는 것이 정답인 것 같습니다.

AWS DynamoDB

- Amazon DynamoDB with on-demand enabled (필요에 의해 확장하고 수정함)

- Amazon DynamoDB with DynamoDB Streams enabled (변경 사항을 스트림으로 캡쳐함)

📊 참고 이미지

DataSync

네트워크 용량이 따라 주지 못하는 경우가 나옵니다. 이때 AWS Snowcone 장치를 사용할 수 있습니다. Snowcone 장치에는 DataSync 에이전트가 사전에 설치되어 있다!

RDS multi AZ

Aurora DB Cluster

특정 IP 제외

SNS ⭐

Kinesis Data Stream

Kinesis Data Firehose

Kinesis Data Stream or Kinesis Data Firehose

Storage Gateway

ECS Lanch Type

왼- EC2 Launch Type / 오- Fargate LaunchType

DynamoDB Accelerator (DAX) vs. ElastiCache

Gateway or Interface Endpoint for S3 (Gateway 선택)

Site-to-site VPN connection

Direct Connect

Site-to-site VPN connection or/and Direct Connect

Transit Gateway

VPC ⭐

BigData

IoT 장치에서 데이터를 수집
Kinesis는 실시간 데이터 수집
Firehose는 데이터를 거의 실시간으로 S3로 전달
Lambda는 Firehose를 도와 데이터를 변형
Amazon S3는 SQS로 알림을 트리거
Lambda는 SQS에 구독
Athena는 서버리스 SQL 서비스이며 결과는 S3에 저장
보고 버킷에는 분석된 데이터가 포함되어 있으며 AWS QuickSight, Redshift 등의 보고 도구에서 사용

Snow Family

DDoS Protection Best Practice ⭐

BP1 - CloudFront
- CloudFront를 사용하여 웹 애플리케이션을 엣지에서 제공
- SYN Flood나 UDP 반사 등의 일반적인 DDoS 공격은 Shield 설정으로 막을 수 있음
BP1 - Global Accelerator
- Global Accelerator를 통해 전 세계의 엣지에서 애플리케이션에 접근
- DDoS 보호를 위해 AWS Shield와 통합
- CloudFront가 백엔드와 호환되지 않는 경우 유용
BP3 - Route 53
- 엣지에 도메인 이름 변환을 글로벌로 설정
  - DNS에도 DDos 보호 매커니즘을 적용할 수 있음

인프라 레이어 방어 (BP1, BP3, BP6)
- CloudFront, Global Accelerator, Route 53, Elastic Load Balancing은 높은 트래픽으로부터 Amazon EC2를 보호
- 이 서비스들을 사용하면 EC2 인스턴스에 도달하기도 전에 트래픽을 관리
Amazon EC2와 오토 스케일링 (BP7)
- 플래시 클라우드 또는 DDos와 같은 급격한 트래픽 급증 시 확장을 지원함
Elastic Load Balancing (BP6)
- Elastic Load Balancing은 트래픽이 증가함에 따라 확장되며, 트래픽을 여러 EC2 인스턴스에 분산

악성 웹 요청 감지 및 필터링 (BP1, BP2)
- CloudFront는 정적 콘텐츠를 캐시하고 엣지 위치에서 제공함으로써 백엔드를 보호
- AWS WAF는 CloudFront와 Application Load Balancer 위에서 사용되며, 요청 서명에 기반하여 요청을 필터링하고 차단
- WAF의 속도 기반 규칙은 악성 사용자의 IP를 자동으로 차단
- WAF에서 관리되는 규칙을 사용하여 IP 평판에 기반한 공격을 차단하거나 익명 IP를 차단
- CloudFront는 특정 지리적 위치를 차단
Shield Advanced (BP1, BP2, BP6)
- Shield Advanced를 활성화하면 자동으로 WAF 규칙을 자동으로 생성, 평가 및 배포하여 7계층 공격을 완화

AWS 리소스 Obfuscating (BP1, BP4, BP6)
- CloudFront, API Gateway, Elastic Load Balancing을 사용하여 백엔드 리소스 (Lambda 함수, EC2 인스턴스) 숨기기
보안 그룹 및 네트워크 ACL (BP5)
- 보안 그룹과 네트워크 ACL등을 사용하여 서브넷이나 ENI 수준에서 특정 IP를 기반으로 트래픽을 필터링
- Elastic IP는 AWS Shield Advanced로 보호
API 엔드포인트 보호 (BP4)
- API Gateway를 사용하여 EC2, Lambda 및 기타 리소스 숨기기
- 엣지 최적화 모드 또는 CloudFront에 리전 모드를 더하여 사용 (DDoS에 대한 제어 기능 강화)
- WAF + API Gateway: 버스트 제한, 헤더 필터링, API 키 사용 등을 활용

보안