운영 우수성, 보안, 안정성, 성능 효율성, 비용 최적화를 고려해야한다.
→ 아래 내용들은 제가 스스로 이해하기 쉽게 적은 부분도 있으므로 그 부분 고려하시면서 읽어주세요!
- 운영 작업을 코드로 수행 (IaC) → 재현성, 이력 관리 ( e.g. Terraform, Ansible, CloudFormation)
- 변경 작업을 최소 단위로 나누어 수행 → 각 시스템들의 종속성을 줄이는 것이 변경 또는 작업을 하는 데 유리, 롤백도 고려
- 장애 시나리오, 운영 프로세스 자주 개선, 모든 장애 리뷰 및 Lesson Learn 하기
- 시스템의 모든 접근에 대한 추적 및 기록 (Cloudtrail, Guard Duty)
- 네트워크 계층(OSI 7Layer) 에 대해 보안 적용
- 자동화가 보안에 도움
- 모든 데이터를 보호하도록 설계 (전송 중인 데이터, 정적 데이터)
- 보안 이벤트 준비 (침입탐지, Ddos 등)
7계층 Application Layer Security - AWS WAF&Sheild: 웹 방화벽 및 Ddos 공격 방어- AWS Inspector: Agent 기반/ Application 보안 진단
4계층 Transport Layer Security
- 보안 그룹: AWS 리소스의 네트워크 접근 통제 (포트 번호(TCP/UDP)까지 제어)
3계층 Network Layer Security (IP 주소 기반 접근 제어)- 보안 그룹: AWS 리소스의 네트워크 접근 통제- VPC NACL: AWS 서브넷간 네트워크 접근 통제- VPC Flow logs: VPC내 트래픽 분석 및 가시화- Bastion Host: 내부 네트워크 접근을 위한 프록시- HTTPS/SSL/TLS: 네트워크 접근을 위한 프록시
1계층 Physical Layer Security- 규정 준수 프로그램: ISO27001, ISMS, PCI DSS, FedRAMP 등- 보호 설비: 화재 감지 및 진압, 전원 이중화, 항온항습 등- 물리적 출입 통제: 영상 감시, 침입 탐지, 보안 카드, 2중 인증 등
시스템 보안
- Service Catalog: 표준화된 AWS 리소스 생성/접근제어
- AWS Config: AWS 리소스 변경내역 기록/관리
- AWS IAM (MFA/Role): AWS 계정 접근제어/권한관리
- Cloud Watch Logs: AWS 리소스 및 Application 모니터링
- Trusted Advisor: 비용/가용성/성능/보안 측면의 감사
데이터 보안
- AWS KMS: 암호화 키 관리
- AWS CloudHSM: 위/변조 감시 가능한 암호화키 관리
- AWS CloudTrail: 모든 AWS API요청에 대한 로그 기록
- 장애에 대한 자동 복구 구축, 장애 복구 훈련 수행
- 가용성을 높이기 위한 수평 확장 설계 (리소스 고정 X)
- 운영 자동화 구축과 지속적 변경 관리
- 최신 기술을 습득하고 적용 (e.g. 6세대 EC2인스턴스 m6g → ARM 기반, 가격 저렴하고 성능 우수)
- 주기적 프로토타입 진행
- 빠른 글로벌 접근 가능한 설계 ( e.g. CloudFront, Route 53)
- 서버리스 아키텍처 활용 ( e.g. Lambda, Fargate, S3)
- 알맞는 가격 약정 채택 → 리소스 Right Sizing
- 클라우드 마이그레이션을 통해 온프레미스 운영비용 최소화
- 관리형 서비스를 사용하여 운영비용 최소화
- 지속적인 월 비용 분석을 통한 비용 최적화 수행