짧은 버전 : 주요 AWS, Azure 및 GCP IAM 개념과 용어를 이해하기 위해 내가 그린 다이어그램을 아래로 스크롤하고 즐겨보세요.

업데이트 1: GCP pdf 링크 수정

머리말

친애하는 보안 담당자, 친애하는 클라우드 엔지니어,

여러분 중 일부는 지난 몇 년 동안 제 초점 영역이 보안 운영에 있었고 기본적으로 위협 행위자로부터 제가 일했던 회사를 방어하기 위해 모든 일을 하고 있다는 것을 알고 계실 것입니다.

이는 I&R, SIEM, EDR, Threat Hunting, 다양한 보안 솔루션 관리 및 탐지, 예방 및 대응에 대한 보안 제어 구현에 관한 모든 것을 의미합니다. 이것은 주로 다음과 같은 최악의 시나리오를 방지하는 것을 의미하는 전통적인 대규모 엔터프라이즈 설정이었습니다.

"나쁜 놈들이 우리 Windows 도메인에 대해 이야기하고 모든 데이터를 훔치는 것을 방지합시다."

Mitre ATT&CK에 따라 초기 액세스 단계에서 시작되었습니다.

하지만,

많은 분들이 퍼블릭 클라우드로의 여정이 한창 진행 중이며 저와 제 (전)팀도 지난 3년 동안 클라우드 보안에 집중하고 작업했다는 것을 알고 계실 것입니다.

주로 Azure 및 GCP.

저는 최근에 직업을 바꾸었고 이제는 모든 보안 도메인이 포함된 순전히 클라우드 보안에 집중하고 있습니다. 세부적으로 이것은 벤더/공급자가 아닌 클라우드의 세 가지 주요 하이퍼스케일러 및 보안(우리가 담당하는 것)을 의미합니다.

3개 클라우드 모두에 대한 IAM 시각화

IAM은 클라우드에서 '올바른' 작업을 수행하는 데 가장 중요한 보안 도메인이므로 세 가지 클라우드 모두에 대해 IAM을 다시 배우고 테스트(해킹/파괴/레드 팀 구성 취약한 랩)하고 연구(AWS는 저에게 새롭습니다)했습니다.

저는 3개 클라우드에서 사용되는 다양한 용어와 시각화 부족(특히 GCP 문서)으로 다소 어려움을 겪고 있었고, 어떤 것을 '그리기'로 결정했습니다. 클라우드 공급자.

솔직히 말해서 약간의 "Identity Crisis" 원인이었습니다. '클라우드 3개 모두'를 보호해야 한다는 것을 알면서도 클라우드 보안을 선택하는 이유가 궁금했습니다…

한 가지를 다른 것으로 놔두면 결과는 다음과 같습니다.

감사합니다. 이 정보가 유용하고 학업에 도움이 되기를 진심으로 바랍니다.

추신: 이 점에 감사한다면 저에게 커피를 사주셔도 됩니다(또는 보관 비용을 지불하십시오).https://www.buymeacoffee.com/julianwieg

참고 사항 / 주의 사항

드로잉/마인드맵이 자연스럽게 성장했고 네 구름마다 조금씩 다릅니다. 나는 일관성을 유지하려고 노력했지만 향후 6개월 동안 이것을 다시 그리고 완성하는 데 소비하지 않을 것입니다.

일반적으로 이것은 각 클라우드의 모든 IAM 조각에 대한 완전한 그림이 아닙니다.

고유한 IAM 구현/문제가 있는 페더레이션 주제 또는 특정 서비스가 모두 표시되지는 않습니다. 예를 들어 대부분의 PaaS 데이터베이스에는 자체 '데이터베이스 관리자'가 있거나 모든 클라우드 스토리지 솔루션이 기본 IAM 서비스 외부에서 '액세스'를 제공합니다(GCP를 제외하고…).

아래 내용이 텍스트와 말풍선 상자에서 흐름/링크에 이르기까지 표시되는 내용에 대해 100% 정확하지는 않지만 매우 정확해야 합니다.

클라우드 공급자 용어를 사용했습니다.

중요한 실수가 보이면 twitter/mastodon/linkedin에서 저를 핑하거나 신원 실수를 보거나 아래의 "핵심 보안 위험"이 강조 표시되지 않는다고 생각하는 경우 아래에 댓글을 달아주세요(쉽게 찾을 수 있습니다).

다이어그램/pdf는 A4(또는 US Letter) 가 아닌 A3 크기로 인쇄하는 것이 가장 좋습니다.

이것은 Miro에서 그린 것입니다.https://miro.com/누군가가 궁금해하면 '이것을 빨리 그려 보자'는 시간이 지남에 따라 커졌습니다.

예 WS는 복잡합니다 (또한 매우 강력하고 세분화됨).

클라우드 공급자 설명서를 읽고 각 클라우드에서 항목을 시도/테스트하십시오. 이것은 학습 또는 '시험 합격' 자료가 아닙니다(도움이 될 수 있습니까?).

AWS

버전: 2022년 11월 26일

https://storage.googleapis.com/multicloudiam/Multi%20Cloud%20IAM%20-%20AWS.jpg

PDF 벡터 그래픽:https://storage.googleapis.com/multicloudiam/Multi%20Cloud%20IAM%20-%20AWS.pdf

(Medium은 이미지 품질을 사용할 수 없도록 압축합니다.)

하늘빛

버전: 2022년 11월 26일

https://storage.googleapis.com/multicloudiam/Multi%20Cloud%20IAM%20-%20Azure.jpg

PDF 벡터 그래픽:https://storage.googleapis.com/multicloudiam/Multi%20Cloud%20IAM%20-%20Azure.pdf

(Medium은 이미지 품질을 사용할 수 없도록 압축합니다.)

GCP

버전: 2022년 11월 26일

https://storage.googleapis.com/multicloudiam/Multi%20Cloud%20IAM%20-%20GCP.jpg

PDF 벡터 그래픽:https://storage.googleapis.com/multicloudiam/Multi%20Cloud%20IAM%20-%20GCP.pdf

(Medium은 이미지 품질을 사용할 수 없도록 압축합니다.)