Google 번역
Cloud Security Course 7Batch 3Week: AWS Security and FinOps
cloud

클라우드 시큐리티 과정 7기 - 3주차: AWS 보안 및 FinOps

AWS FinOps Cloud-Security Cost-Optimization Well-Architected
Google 번역

목차

AI 요약
제목 클라우드 시큐리티 과정 7기 - 3주차: AWS 보안 및 FinOps
카테고리 Cloud
태그 AWS FinOps Cloud-Security Cost-Optimization Well-Architected
핵심 내용
  • AWS 보안 서비스 구조: IAM(Identity Center), Organizations(SCP), CloudTrail(감사), Config(규칙), Security Hub(중앙 집중 보안), GuardDuty(위협 탐지), Inspector(취약점), Macie(데이터), Detective(포렌식), WAF, Shield, Firewall Manager, KMS, Secrets Manager
  • IAM 보안 모범 사례: 최소 권한 원칙, IP 기반 접근 제어, MFA 필수, 조건부 정책, VPC 보안 구성(Security Group, NACL, Flow Logs), GuardDuty 자동 대응(Lambda 기반 격리, SNS 알림)
  • FinOps 프레임워크: Inform(가시성 확보), Optimize(비용 최적화), Operate(운영 관리), Capabilities(비용 할당/태깅, 예산/예측, 이상 탐지, Reserved Instance/Savings Plans, Right Sizing)
  • 비용 최적화 전략: 일관된 리소스 태깅 전략(Environment, Project, Owner, CostCenter), AWS Cost Explorer API 활용, 월간 비용 분석 및 이상 탐지, Reserved Instance/Savings Plans 최적화
  • AWS Well-Architected Framework: 보안 및 비용 최적화 관점에서의 아키텍처 설계, 보안과 비용의 균형, 실무 적용 가능한 FinOps 전략
기술/도구 AWS, FinOps, GuardDuty, Security Hub
대상 독자 클라우드 아키텍트, DevOps 엔지니어, 클라우드 관리자
이 포스팅은 AI가 쉽게 이해하고 활용할 수 있도록 구조화된 요약을 포함합니다.

Cloud Security Course 7Batch 3Week: AWS Security and FinOps

1. AWS 보안 아키텍처

1.1 AWS 보안 서비스 전체 구조

참고: AWS WAF/CloudFront 설정 관련 내용은 AWS WAF Terraform 모듈AWS WAF CloudFront 통합 예제를 참조하세요. │ │Shield │ │Firewall│ │ │ │ KMS │ │ Secrets │ │ │ │ │ │ │ │ Adv │ │Manager │ │ │ │ │ │ Manager │ │ │ │ │ └───────┘ └───────┘ └───────┘ │ │ └───────┘ └───────────┘ │ │ │ └─────────────────────────────────┘ └────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────────────┘

-->

### 1.2 IAM 보안 모범 사례

> **코드 예시**: 전체 코드는 [JSON 공식 문서](https://www.json.org/json-en.html)를 참조하세요.
> 
> ```json
> {...
> ```

<!-- 전체 코드는 위 GitHub 링크 참조
```json
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowS3ReadOnly",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::my-bucket",
        "arn:aws:s3:::my-bucket/*"
      ],
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": ["10.0.0.0/8"]
        },
        "Bool": {
          "aws:MultiFactorAuthPresent": "true"
        }
      }
    }
  ]
}

–>

1.3 VPC 보안 구성

참고: VPC 보안 구성 관련 내용은 Terraform AWS VPC 모듈AWS VPC 보안 모범 사례를 참조하세요.

# Terraform: 보안 VPC 구성...

2. AWS 보안 서비스 상세

2.1 GuardDuty 자동화 대응

참고: AWS GuardDuty 자동화 대응 관련 내용은 AWS GuardDuty 문서AWS Lambda를 통한 GuardDuty 자동 대응을 참조하세요.

import boto3...

3. FinOps 전략

3.1 FinOps 프레임워크

3.2 비용 태깅 전략

코드 예시: 전체 코드는 JSON 공식 문서를 참조하세요.

{...

3.3 AWS Cost Explorer API 활용

참고: AWS Cost Explorer API 관련 내용은 AWS Cost Explorer API 문서AWS Boto3 Cost Explorer를 참조하세요.

import boto3...

3.4 비용 알림 설정

참고: AWS 비용 알림 설정 관련 내용은 AWS Cost Management 문서AWS Budgets를 참조하세요.

import boto3...

4. 비용 최적화 실전 가이드

4.1 EC2 Right Sizing

참고: AWS Compute Optimizer 관련 내용은 AWS Compute Optimizer 문서를 참조하세요.

# AWS Compute Optimizer 활용...

4.2 Savings Plans 전략

참고: AWS Savings Plans 관련 내용은 AWS Cost Management 문서AWS Pricing Calculator를 참조하세요.

compute_savings_plan:...

5. FinOps 대시보드 KPI

지표 설명 목표
Unit Cost 트랜잭션당 비용 감소 추세
Coverage RI/SP 커버리지 > 70%
Utilization RI/SP 활용률 > 80%
Waste Rate 미사용 리소스 비율 < 5%
Tagging Compliance 태그 준수율 > 95%

6. 2025년 AWS re:Invent 보안 발표

2025년 AWS re:Invent에서 발표된 주요 보안 기능들을 정리합니다. 이 새로운 기능들은 AWS 보안 서비스와 FinOps 전략에 중요한 영향을 미칩니다.

6.1 핵심 보안 서비스 업데이트

AWS Security Hub GA 업데이트

  • 보안 위험 중앙 집중화: 모든 보안 위협을 단일 대시보드에서 관리
  • 히스토리 트렌드: 시간에 따른 보안 상태 변화 추적
  • 노출 요약: 취약점 노출 현황 한눈에 파악
  • 커스텀 위젯: 맞춤형 보안 대시보드 구성 가능

Amazon GuardDuty Extended Threat Detection

  • 공격 시퀀스 탐지 강화: EC2 인스턴스 및 ECS 태스크용 2개의 새로운 공격 시퀀스 탐지 추가
  • 복합적인 공격 패턴을 자동으로 연결하여 탐지 정확도 향상

GuardDuty Malware Protection for AWS Backup

  • EC2, EBS, S3 백업에서 악성코드 자동 스캔
  • 증분 스캔 지원: 변경된 부분만 스캔하여 효율성 극대화

6.2 AI 기반 보안 자동화

AWS Security Agent (Preview)

참고: AWS Security Agent 관련 내용은 AWS re:Invent 2025 발표AWS Security 문서를 참조하세요.

┌─────────────────────────────────────────────────────────────────┐...

IAM Policy Autopilot

  • 오픈소스 MCP 서버 기반
  • AI 코딩 어시스턴트가 IAM 정책을 자동으로 생성
  • 최소 권한 원칙 준수를 자동화

AgentCore Identity

  • AI 에이전트용 인증 시스템
  • 사용자 권한 기반 접근 제어
  • AI 워크로드의 보안 거버넌스 강화

6.3 운영 편의성 개선

aws login 명령어

참고: AWS CLI 인증 관련 내용은 AWS CLI 공식 문서AWS IAM Identity Center를 참조하세요.

# 브라우저 세션으로 CLI 자격증명 획득
aws login

# 기존 방식 대비 장점:
# - SSO 연동 간소화
# - 임시 자격증명 자동 관리
# - 보안성과 편의성 동시 확보

AWS Organizations Account Migration

  • 계정을 standalone으로 만들지 않고 조직 간 직접 이동 가능
  • 마이그레이션 과정에서의 보안 설정 유지
  • FinOps 관점에서 비용 할당 연속성 보장

6.4 Third-party 보안 통합

파트너 통합 내용 주요 기능
SentinelOne Singularity + Security Hub/CloudWatch Purple AI MCP Server
Salt Security Ask Pepper AI (Bedrock 기반) API 보호 자동화
HiddenLayer Amazon Bedrock, SageMaker 네이티브 AI 모델 보안

7. 마무리

이번 주차에서는 AWS 보안 서비스의 통합 활용과 FinOps 전략을 학습했습니다. 보안과 비용 최적화는 상충되는 것이 아니라, Well-Architected Framework를 통해 함께 달성할 수 있습니다.

2025년 re:Invent에서 발표된 새로운 보안 기능들, 특히 AI 기반 보안 자동화(Security Agent, IAM Policy Autopilot)와 향상된 위협 탐지(GuardDuty Extended Threat Detection)는 보안 운영의 효율성을 크게 높여줄 것으로 기대됩니다.

다음 주차 예고: AWS 취약점 점검 및 ISMS-P 대응 가이드

📚 참고 자료:

댓글

의견이나 질문을 남겨주세요. GitHub 계정으로 로그인하여 댓글을 작성할 수 있습니다.

댓글을 불러오는 중...