본문 바로가기
자격증/AWS Certified Security - Specialty

[AWS SCS] OpenSearch - 보안

S0NG 2024. 12. 15. 10:31
728x90
반응형

Amazon OpenSearch 보안 설정 가이드

Amazon OpenSearch는 강력한 검색 및 분석 기능을 제공하는 서비스입니다. 클러스터의 보안을 위해 OpenSearch는 공용 액세스VPC 액세스라는 두 가지 배포 모드를 지원하며, 다양한 보안 정책을 통해 데이터 보호를 강화할 수 있습니다. 이번 글에서는 OpenSearch 보안을 설정하는 방법과 주요 정책에 대해 알아보겠습니다.

1. OpenSearch 배포 모드

공용 액세스 (Public Access)

공용 액세스 모드에서는 OpenSearch 클러스터가 인터넷을 통해 공용 엔드포인트로 노출됩니다. 이를 제어하기 위해 액세스 정책, ID 기반 정책, IP 기반 정책을 사용할 수 있습니다.

  • 특징:
    • 공용 IP를 기준으로 접근 제한 설정 가능
    • HTTP 기본 인증 및 IAM 자격 증명 활용
  • 인증 흐름:
    1. 클라이언트가 HTTP 기본 자격 증명을 사용하여 요청을 보냄.
    2. IAM 서명이 필요하면 서명 검증 후 자격 증명의 유효성을 확인.
    3. 세부적인 액세스 제어(Fine-Grained Access Control)를 통해 요청 작업의 허용 여부를 결정.
    4. 승인된 경우 OpenSearch가 전체 또는 일부 데이터를 반환.

VPC 액세스

VPC 액세스 모드는 클러스터를 VPC 내에 배포하여 네트워크를 통해 안전하게 접근할 수 있도록 합니다.

  • 특징:
    • VPC, 서브넷, 보안 그룹, IAM 역할을 명시적으로 설정.
    • VPC 엔드포인트 및 ENI(Elastic Network Interface) 생성.
    • 외부 접근 시 AWS의 로컬 네트워크(VPN, 트랜짓 게이트웨이 등) 필요.
  • 인증 흐름:
    1. 클라이언트는 IAM 자격 증명을 사용하여 VPC를 통해 OpenSearch에 연결.
    2. 보안 그룹 및 액세스 정책 검증.
    3. 세부적인 액세스 제어를 실행하여 요청 작업을 확인.
    4. 승인된 경우 OpenSearch가 데이터 반환.

2. OpenSearch 보안 정책

도메인 액세스 정책 (Domain Access Policy)

OpenSearch 도메인 및 하위 리소스(인덱스, API 등)에 대해 특정 작업을 허용하는 정책입니다.

  • 정책 예시 1: 전체 액세스 허용
    특정 IAM 사용자에게 OpenSearch 도메인의 모든 하위 리소스에 대한 전체 액세스를 허용합니다.
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "es:*",
      "Resource": "arn:aws:es:region:account-id:domain/test-domain/*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:user/user-name"
      }
    }
  ]
}

 

  • 정책 예시 2: 특정 작업만 허용
    아래 정책은 HTTP GET 및 HTTP PUT 작업만 허용하며, 특정 데이터(commerce_data)에만 적용됩니다.
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["es:HTTPGet", "es:HTTPPut"],
      "Resource": "arn:aws:es:region:account-id:domain/test-domain/commerce_data/*",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:user/user-name"
      }
    }
  ]
}

 

3. 보안 설정의 핵심

  • 공용 액세스 모드: 인터넷 접근이 필요한 경우, IP 기반 제한 및 IAM 정책을 활용하여 보안을 강화합니다.
  • VPC 액세스 모드: 네트워크 내부에서만 접근이 필요한 경우 VPC 엔드포인트 및 보안 그룹 설정을 통해 안전성을 확보합니다.
  • 세부적인 액세스 제어: 도메인 액세스 정책을 통해 작업별 권한을 세분화하여 관리합니다.

결론

Amazon OpenSearch는 강력한 검색 기능과 더불어 높은 수준의 보안을 제공합니다. 공용 액세스와 VPC 액세스 모드 중 필요한 방식으로 클러스터를 구성하고, 적절한 보안 정책을 설정하여 데이터와 애플리케이션을 보호하세요.

 
728x90
반응형
저작자표시

'자격증 > AWS Certified Security - Specialty' 카테고리의 다른 글

[AWS SCS] Site to Site VPN  (0) 2024.12.15
[AWS SCS] Bastion Host  (0) 2024.12.15
[AWS SCS] OpenSearch  (1) 2024.12.15
[AWS SCS] Route 53 - 쿼리 로깅  (0) 2024.12.15
[AWS SCS] VPC Network Access Analyzer  (0) 2024.12.15

'자격증/AWS Certified Security - Specialty' Related Articles

티스토리툴바