[AWS/SAA-C02] 시험대비 11일차 + CloudFront 보안

2022.10.30

SAA-C02 시험대비 공부 11일차

 

 

출처

  ① AWS 바로 시작하기(사내인터넷강의)

  ② AWS Certified Solutions Architect - Associate 자격증 준비하기(인프런인터넷강의)

  ③ AWS 공인 솔루션스 아키텍트 스터디 가이드(직접구매)

 

 

CloudFront 보안 엑세스 종류

  ① Viewer / Origin 프로토콜 정책

  ② OAI(Origin Access Identity)

  ③ Signed URL, Signed Cookies

  ④ Geographic Restrictions(지역제한)

  ⑤ WAF, AWS Shield와 결합해 DDos 방어

  ⑥ 필드 레벨 암호화

  ※ WAF: Web Application Firewall

 

 

View / Origin 프로토콜 정책

  ① Viewer 프로토콜: Viewer가 CloudFront로 접속할 때 사용하는 프로토콜(HTTP / HTTPS) 

  ② Origin 프로토콜: CloudFront에서 Origin으로 접속할 때 사용하는 프로토콜(Http Only, Https Only, Match Viewer)

  ※ View: CloudFront에 접속하는 Client 또는 Users

  ※ Origin: ELB, S3 Bucket

  ※ Match Viewer: 뷰어일치. 앞단에서 사용한 프로토콜을 그대로 사용

 

 

OAI(Origin Access Identity)

  ① OAI를 통해 S3 Bucket의 엑세스를 CloudFront를 통해서만 할 수 있도록 하는 기능

  ② MCI를 두는 것처럼 Viewer는 반드시 CloudFront를 통해서 S3 Bucket에 접근하도록 만드는 기능

  ③ S3 Bucket 정책 중, OAI허용기능을 통해 사용가능. CloudFront는 OAI를 가지고 있음

 

 

Signed URL, Signed Cookies

  ① 서명된 URL 또는 Cookie를 이용해서 컨텐츠에 접속하는 기능

  ② URL 또는 Cookie에는 컨텐츠 만료기간, 엑세스 가능한 IP를 저장할 수 있음

  ③ 유료 컨텐츠나 보안을 위해 컨텐츠의 유효/만료 기간을 지정해야 하는 경우 사용

  ④ 서명된 URL은 1개의 파일에 1개의 서명만 저장 (1개의 파일 접속을 위한 URL)

  ⑤ 서명된 Cookie는 하나의 Cookie로 여러 개의 파일 접속 가능

 

 

Geographic Restrictions(지역제한)

  ① 특정 국가에서의 컨텐츠 엑세스를 제한하는 기능

  ② 법률적인 사항으로 국가별로 저작권이 다른 경웨 사용가능

  ③ WhiteList: 리스트에 있는 국가만 엑세스 허용

  ④ BlackList: 리스트에 있는 국가만 엑세스 거부

 

 

필드 레벨 암호화

  ① 신용카드번호와 같이 사용자가 제출한 데이터를 안전하게 Origin 서버로 업로드할 수 있게 해주는 기능

  ② PUT/POST 요청이 Origin으로 전달되기 전에 Edge Location에서 비대칭 암호화 키를 사용하여 데이터를 추가로 암호화

  ③ 데이터는 Private Key를 가진 Application만 복호화 할 수 있음