3. Hanbitsoft on AWS
History
Status
Game Title : 5 EA
2013.4
AWS Migration Start
2013.6
5개 Online game 이전
2013.9
Reserved Instance 전환
2013.9
AWS Migration End
EC2 Instances : 120 Count
AWS Regions : US-EAST, Tokyo
AWS Services : EC2, S3, CloudFront,
Business Support, Route 53
글로벌 IDC 인프라를 AWS 인프라로
이전 후 안정적인 게임 서비스 제공
4.
5.
6. 보안에 대한 오해
보안에 취약한 클라우드?
1. 물리적 보안
데이터 센터의 출입관리, 주요시설 관리 등
보안 요소
2. 기술적 보안
네트워크, 서버, 데이터베이스 기술 보안 등
3. 관리적 보안
사용자 관리, 접근 관리, 보안 정책 관리
8. 보안에 대한 오해
데이터 센터의 물리적 보안
• 데이터 센터의 위치가 노출되지 않음.
• 모든 출입은 기록되고 리뷰됨
• 멀티 팩터 인증
- 인가된 직원이라 할지라도 2가지 요소를 이용하여 인증절차를 최소 2번
통과해야함
• 역할의 분리
- 물리적 출입 권한을 갖는 직원은 논리적 접속 권한을 가질 수 없음
• 24 x 7 경비 체제
• 다양한 인증 기관에서 요구하는 보안 수준을 만족하고 있음.
11. 보안에 대한 오해
기술적 보안 – VPC 보안
회사 네트워크
인터넷
Internet
Gateway
VPN
Gateway
VPC
10.0.0.0/8
Web Server
Group
Game Server
Group
DB Server
Group
Manage Server
Group
Public Subnet
(10.1.0.0/16)
Public Subnet
(10.2.0.0/16)
Private Subnet
(10.3.0.0/16)
Private Subnet
(10.4.0.0/16)
14. 보안에 대한 오해
기술적 보안 – AWS MarketPlace
•
다양한 Software, Middleware를 제3자가 판매하고 구매할 수 있는 곳
•
Big Data, Security, Network Monitoring 등의 SW를 사용할 수 있음
•
인스턴스 비용 외에 시간당 라이센스 비용을 붙여 판매 하고 있음
15. 보안에 대한 오해
기술적 보안 – IPS/IDS 보안
IPS/IDS
WAF
• AWS 보안 규정상 Appliance는 불가능
• OWASP Top 10 protection
• Host-Based IPS / IDS 사용 가능
• Reporting 및 분석 기능 포함
• AWS MarketPlace를 통해 검색하면 다양
• AWS MarketPlace를 통해 검색하면 다양
한 Solution 검색 가능
• TrendMicro Deep , AlertLogic,
Sourcefire Snort, Tripwire, OSSEC,
Verisys, McAfee HIDS
한 Solution 검색 가능
• Prolexic, Imperva CloudWAF, Incapsula,
Alert Logic
17. 보안에 대한 오해
관리적 보안 – IAM(Identity and Access Management)
Master
18. 보안에 대한 오해
관리적 보안 – IAM(Identity and Access Management)
Master
총무
재무
시스템
개발
QA
Master 계정은 사용하지 않음 (Default)
부서별/사용자별 역할과 권한을 부여해야함.
한빛소프트에서는 AWS Console에 접근하는 것을 서버실에 접근
하는 것과 동일하게 판단하여 계정 관리를 강화함.
19. 보안에 대한 오해
AWS 관리 콘솔에 접근하기 위해
사용자명과 패스워드를 입력 후 로그인 한다.
20. 관리적 보안 - IAM
AWS 관리 콘솔에 접근하기 위해
사용자명과 패스워드를 입력 후 로그인 한다.
21. 관리적 보안 - IAM
충분히 가능한 사실!
인스턴스가 삭제되었습니다.
AWS 관리 콘솔에 접근하기 위해
사용자명과 패스워드를 입력 후 로그인 한다.
22. 보안에 대한 오해
관리적 보안 – MFA
AWS 관리 콘솔에 접근하기 위해 사용자명과 패스
워드로 1차 인증하고 Google Authenticator를
이용하여 2차 인증후에 로그인한다.
27. 일자리에 대한 오해
VPC Setting
Subnet Setting
Route Table
VPN Setting
ACL Control
…
Auto Scaling
Data Modeling
Performance 최적화
High Available
Infra 자동화
…
여전히 비SE 입장에서는
전문적인 지식 없이는 접근
하기 어려운 영역
System Engineer 로서
새로운 영역 발굴
28. 일자리에 대한 오해
CLI 모드가 지원되는 API 를 제공하여 시스템 엔지니어에게 매우 친숙함.
세부적인 기능 구현 작업과 Instance 현황 추출 등의 작업에서 유용함.
30. 일자리에 대한 오해
AWS 인증시험
Architect,
Developer,
Sysops 에 걸쳐
출시됨
게임쪽은 Cloud
적용이 가장 빠른
산업 중 하나
31.
32.
33.
34.
35. 비용에 대한 오해
예약 요금제 소개
“Reserved Instance”
-
최대 45%
100
선납금 지불 후, 매 월 할인
온 디맨드 대비 최대 65% 비용 절감
비즈니스에 따라 확장 용이
용량 예약 기능
추가 비용 없이 변경 가능
최대 65%
55
35
120대 예약 인스턴스 사용중
On-demand
1년 최대
1yr RI
45% ~ 3년 최대 65%Saving
3yr RI
36. 비용에 대한 오해
•
Windows, MSSQL STD, Oracle STD One 은 License Included로 사용가능
•
AWS와의 Partnership을 통한 종량제 요금에 포함됨으로써 별도의 License 계
약이 필요하지 않음.
150
100
100
50
50
License
Infra
0
IDC
AWS
Software License 측면에서 많은 절감을 이룰 수 있었음
37. 비용에 대한 오해
구분
월
1년
IDC 인프라
52,000,000
634,000,000
해외 출장비용
10,000,000
AWS 인프라
36,000,000
432,000,000
1년 예약비용
121,000,000
절감 금액
16,000,000
192,000,000
비고
무려 32% 절감
38. 비용에 대한 오해 – RI TIP
Example
•
m1.xlarge 2개를 RI로 구입했음.
•
m1.xlarge 중 1개의 인스턴스가 더이상 쓸모없게 되었음
•
대신 새로운 게임 런치로 m1.large 2대를 사용하게 됨
•
m1.xlarge = 1 x m1.xlarge + 2 x large 로 전환함
39. 비용에 대한 오해 – RI TIP
Payer Account
(aws@mail.com)
GAME 1
(game1@mail.com)
GAME 2
(game2@mail.com)
GAME 3
(game3@mail.com)
GAME 4
(game4@mail.com)
GAME 5
(game5@mail.com)
Example
•
GAME1 Account에서 4개의 m1.large Instance를 구매했음
•
GAME1 Account에서 3개월 뒤 서비스를 중단했음
•
자동으로 GAME2~5의 사용 현황을 본 뒤 m1.large Instance를 사용하는
것이 있으면 해당 인스턴스를 RI 가격으로 적용함
44. 마지막으로..
구분
IDC 인프라 (물리)
AWS 인프라 (가상)
장애적인 측면
인력이 IDC로 직접 이동
해야함.
시간이 소요되고 서비스
지연이 발생됨.
OP가 필요할 수 있음.
컴퓨터 앞에서 처리함.
OP가 필요하지 않음.
(현재까지 장애 없음)
작업적인 측면
네트워크 라인 작업부터 컴퓨터 앞에서 소수 인원만
서버 설치 등 여러 사람이 작업함.
분산 작업 해야함.
(한 사람이 해도 됨)
비용적인 측면
고정 비용으로 발생
부품 비용 발생
유동적으로 발생
(사용한만큼)
시간적인 측면
서버 1대 설치시 최소
2~3시간 소요
서버 1대 설치시
최대 5분~15분 (이미지 활
용)