[ACC 해커톤] 필수 사항 생각해보기

생각해볼 수 있는 보안 종류

• 전송간 암호화
• SSE
• CSE
• KMS
• CloudTrail

 

---

보안 취약점 찾기

 

1. 전 구간 이동 시 탈취 우려
2. 유저가 API 요청 시 탈취 우려
3. S3에 유저의 고객이 저장된 순간 이메일 탈취 우려
4. DynamoDB 보안.

해결책

1. 예빈님이 보내주신 자료를 읽어봤을 때, AWS가 제공해주는 보안 기능 설정만 잘 하면 문제가 없다. 사실 AWS가 제공하는 보안 기능 외에 추가로 해줘야 하는 것이 있으면 그건 AWS의 잘못이기 때문에 걱정할 이유가 없겠다.
2. API Gateway 보안 관련
   • 다행히 API Gateway가 자체적으로 보안이 잘 되어 있다. (SSL/TLS 인증서, HTTPS 엔드포인트 제공 등)
   • 쓰로틀링을 지원해서 사용자 자체가 문제인 경우도 해결 가능
   • 프런트를 구현한다면 cognito를 사용해서 서비스 제공. 우리는 그 앞단은 신경쓰지 않기 때문에 넘어가도 된다.
3. S3 보안 관련
   • 버킷 분리하기: 민감 정보(이메일 주소) / 단순 정보(데이터, 콘텐츠) - [상황에 따라 단순 정보가 아닐 수 있음]. 분리하면 일부 IAM 사용자만 접근 가능 role 부여
   • macie 사용: S3 내부의 민감 데이터 관리 및 모니터링 가능. 첫 달 프리티어 및 저렴한 비용(소규모 한정)이라 고려해볼만 하다고 생각.
     만약 버킷을 일회성으로 계속 생성하고 삭제하는 구조라면 필요 없는 기능
   • 얘도 보안이 잘 돼 있긴 하다.
4. IAM으로 핸들링

---

추가로 알아볼 것

ACM: TLS 인증서 자동갱신

 

SSM Parameter Store:

스토리지 무료. 추가 비용 X. 파라미터 개수 10,000개, 파라미터 당 4kb.

보안성 높은 스토리지. 하지만 Learning curve 존재

 

---

람다 고가용성

람다 스케일링

• 람다의 트리거로 ALB를 설정하면 된다. (ALB의 대상 그룹을 람다로)

 

발송 지연 시간

•  

---

Reference

• Gateway 데이터 암호화
• Gateway 보안
• S3 보안