본문 바로가기
자격증/AWS Certified Security - Specialty

[AWS SCS] ACM - 보안

S0NG 2024. 12. 25. 14:17
728x90
반응형

AWS Certificate Manager (ACM) 심층 분석

AWS Certificate Manager(ACM)는 SSL/TLS 인증서를 손쉽게 관리할 수 있는 서비스입니다. 이번 글에서는 ACM의 주요 기능과 이를 활용한 인증서 관리 방법에 대해 자세히 살펴보겠습니다.

1. ACM의 개인 인증 기관(PCA)

ACM에서는 **개인 인증 기관(PCA)**을 설정하여 조직 내에서 인증서를 발급하고 관리할 수 있습니다. 개인 인증 기관을 사용하면 엔드 엔티티 X.509 인증서를 발급할 수 있으며, 이는 조직 내에서만 신뢰되는 인증서입니다. 이 인증서는 공개 인터넷에서는 신뢰되지 않으며, 주로 내부 애플리케이션, VPN, IoT 장치 등에 사용됩니다.

주요 사용 사례:

  • TLS 암호화 통신: 내부 트래픽을 암호화하여 보안을 강화합니다.
  • 암호화된 코드 서명: 코드의 서명 및 신뢰성 보장을 위한 인증서 발급.
  • 인증: 사용자, 컴퓨터, API 엔드포인트, IoT 장치 인증.
  • PKI 구축: 기업 내부의 공개 키 기반 구조(PKI)를 구축할 수 있습니다.

2. ACM에서의 인증서 검증 방식

ACM에서 인증서를 발급받기 위해서는 도메인 소유권을 증명해야 합니다. 공개 인증서의 경우, 이를 증명하기 위한 검증 방법에는 DNS 검증이메일 검증 두 가지가 있습니다.

2.1 DNS 검증

  • CNAME 레코드를 DNS에 추가하여 도메인 소유권을 증명합니다.
  • 이 방법은 자동 갱신에 유리하고, 빠르게 인증서를 발급받을 수 있습니다.
  • Route 53과 같은 DNS 서비스에 CNAME 레코드를 추가하고, ACM이 제공하는 값으로 검증을 완료합니다.

2.2 이메일 검증

  • 도메인 WHOIS 데이터베이스에 등록된 이메일 주소로 확인 이메일을 발송합니다.
  • 이메일을 통해 도메인 소유자가 인증서를 수락하는 방식입니다.
  • 이 방법은 공개 인증서에만 적용됩니다.

3. 인증서 자동 갱신 및 관리

ACM에서는 인증서를 자동으로 갱신해주며, 만약 DNS 검증을 통한 갱신에 실패하면 이메일 검증 방법으로 대체할 수 있습니다. ACM은 만료 45일 전에 갱신 알림을 보내므로, 이를 통해 인증서를 갱신할 수 있습니다.

3.1 갱신 실패 해결 방법

  • CNAME 레코드가 잘못 설정된 경우, dig 명령어를 사용해 DNS 값을 확인하고, 누락된 문자가 없는지 점검합니다.
  • TXT 레코드CNAME 레코드가 충돌하는 경우, TXT 레코드를 삭제해야 할 수 있습니다.

4. 수동 인증서 생성 및 업로드

ACM 내에서 인증서를 발급받지 않고 수동으로 인증서를 생성하여 업로드할 수 있습니다. 이 경우, 인증서 서명 요청(CSR)을 생성하여 외부 인증 기관에 제출하고, 발급된 인증서를 ACM이나 IAM에 업로드합니다. ACM에서 모든 작업을 처리하는 것보다 복잡할 수 있지만, 외부 인증 기관을 사용하는 경우에는 필요한 방법입니다.

5. 만료된 수동 인증서 모니터링

수동으로 수입한 인증서는 자동으로 갱신되지 않으므로, EventBridge를 사용하여 만료된 인증서를 모니터링할 수 있습니다. 만약 인증서가 만료되면, 외부에서 갱신 후 ACM에 재업로드해야 합니다.

5.1 모니터링 설정

  • EventBridge를 사용하여 만료 45일 전에 알림을 받을 수 있습니다.
  • Lambda 함수, SNS 알림, SQS 메시지 등을 통해 갱신을 자동화할 수 있습니다.

6. 결론

ACM은 공개 및 개인 인증서를 쉽게 관리할 수 있도록 돕는 유용한 서비스입니다. 공개 인증서의 경우 DNS 검증 및 이메일 검증을 통해 인증서를 발급받을 수 있으며, 개인 인증 기관을 사용하여 내부적으로 인증서를 발급하고 관리할 수도 있습니다. ACM은 인증서의 자동 갱신 및 모니터링 기능을 제공하여 관리의 복잡성을 줄여주며, 다양한 AWS 서비스와 통합되어 보안을 강화하는 데 큰 도움이 됩니다.

추천 사항:

  • ACM 사용 권장: 가능하면 ACM을 통해 인증서를 관리하세요. 이는 인증서 발급, 갱신, 관리 과정을 자동화하여 시간과 비용을 절감할 수 있습니다.
  • 모니터링 설정 필수: 수동 인증서를 사용하는 경우, 만료 알림을 설정하여 인증서 관리에 오류가 없도록 하세요.

AWS에서 인증서를 관리하는 데 있어 ACM을 잘 활용하면 보안 강화를 위한 작업이 훨씬 수월해질 것입니다.

728x90
반응형
저작자표시

'자격증 > AWS Certified Security - Specialty' 카테고리의 다른 글

[AWS SCS] Amazon Data Lifecycle Manager  (0) 2024.12.25
[AWS SCS] AWS Backup  (0) 2024.12.25
[AWS SCS] AWS Certificate Manager (ACM)  (0) 2024.12.25
[AWS SCS] Network Load Balancer - TLS Listeners  (0) 2024.12.25
[AWS SCS] ELB SSL 인증서 보안  (0) 2024.12.25

'자격증/AWS Certified Security - Specialty' Related Articles

티스토리툴바