Skip to main content

16 AWS Security Features

장애 대응

  • 사람이 활동하지 않는 시간에 장애가 발생 시 대응하기 위해 자동화 대응
  • 골든 타임 내에 침해/위협/사고를 막기 위해 사용
  1. 위협 탐지
    • AWS GuardDuty, Inspector
    • 잠재적 보안 위협 식별
  2. 위험 분류
    • AWS Security Hub
  3. 위협 조사
    • AWS Detective, Security Lake
  4. 대응 체계
    • AWS System Manager

AWS 위협 탐지

GuardDuty

  • 워크로드에서 발생하는 로그 데이터 기반 악의/비정상 행위 탐지하는 지능형 위협 탐지 서비스.
  • 머신러닝 + TI를 사용하여 고도화.

워크로드: 하나의 동작 및 프로세스

Inspector

  • EC2 인스턴스/컨테이너 이미지의 보안 취약점과 네트워크 보안 취약성을 자동으로 평가
  • 보안 서비스가 아무리 좋아도, 요금(비용) 대비 효율이 실제로 좋아야 사용할 수 있습니다.
  • CVE 및 네트워크 접근 가능성 분석 => 잠재 보안 허점을 사전 파악
    • CVE 링크
    • Can I use를 함께 보면 좋습니다.
    • 최근 Github Dependabot은 배포된 웹앱에 설치된 패키지(종속성)의 취약점을 확인하여 자동으로 업데이트하는 기능이 추가되었습니다.
  • SBOM(Software Bill of Materials) 기능을 통해 소프트웨어 구성 요소 + 종속성을 파악해 취약점 가시성을 높이고 공급망 보안 관리를 합니다.
    • 기능 요구사항 명세서, 소프트웨어 설계서를 생각하시면 좋습니다.

Detective

  • AWS Detective는 보안 문제의 근본 원인을 조사하고, 위협의 범위를 파악하며, 보안 사건에 대한 인사이트를 제공하는 서비스입니다.
  • 로그, 이벤트, 네트워크 흐름 데이터를 분석하여 보안 사고 대응 시간을 단축합니다.

Security Lake

  • 보안 관제와 AI 연관성이 높으며, Security Hub에서 수집된 보안 데이터를 중앙 집중식 데이터 레이크로 통합하는 서비스입니다.
  • 다양한 보안 소스의 데이터를 표준화하여 보안 분석과 위협 탐지를 강화합니다.

OCSF

  • 표준화된 보안 이벤트 데이터 모델(스키마)입니다.
  • 서로 다른 보안 제품, 로그, 이벤트 데이터를 공통된 구조/용어 체계로 통합합니다.
  • 그동안 SIEM/XDR 마다 로그 형식이 달랐습니다. OCSF에 맞추어 이를 통합합니다.
  • AWS가 보안 생태계에서 영향력을 확대하고자 하는 의도로 볼 수 있습니다.
  • 추가적으로 MCP가 떠오르는 부분입니다.

필요한 이유

  • SOAR: 보안 운영을 자동화/효율화하는 플랫폼 | 개념입니다.

데이터 통합의 어려움:

테이블 + 테이블 구조를 통합할 때의 쿼리 =
테이블이 여러 개 + 다계층이 되는 경우 비용/복잡성이 증대합니다.

AWS System Manager

클라우드 보안에서 중앙화가 화두라고 합니다.

  • AWS 리소스를 중앙에서 관리하고 자동화된 운영 및 유지 관리 작업을 수행 지원 서비스
  • 사전 정의된 절차에 따라 보안 위협에 자동으로 대응하는 워크플로우 구축

ChatOps

  • Slack, MS Teams, Discord 같은 채팅 플랫폼을 운영, 보안, 개발 자동화 도구와 연동하여 대화 안에서 직접 시스템을 제어/모니터링 대응

    • 실무에서도 Slack과 시스템 연동을 자주 쓰는 편입니다.
    • Circle CI 빌드/배포 실패, 웹사이트에서 특정 에러 발생 시 개발팀 슬랙 알람 등의 개발을 한 경험이 있습니다.

  • 가시성 = 문서화에 용이합니다.

  • Slack API, 웹앱을 활용하여 채팅으로 "재시작"을 보내기만 하여도 대응할 수 있게 만들 수 있습니다.

Trust Advisor

  • AWS의 보안 및 비용 최적화 기능을 제공하는 서비스입니다.

  • 주요 기능:

    • S3 버킷 권한 및 공개 설정 검사
    • EBS Snapshot 관리 및 최적화
    • RDS (MySQL, Oracle, Redis 등) 데이터베이스 보안 및 성능 검사
    • Root 계정 MFA 설정 권장
    • 보안 그룹의 특정 포트 무한 접근 여부 점검

  • 자세한 내용은 AWS Trusted Advisor 공식 문서를 참고하세요.

MFA

  • Google OTP는 실제로 많이 사용합니다.
  • AWS MFA는 추가적인 보안 계층을 제공하며, 자세한 내용은 AWS MFA 공식 문서를 참고하세요.

VPC (Virtual Private Cloud)

첫 실습부터 가상머신(VM)에 대해 학습하였습니다. 이번엔 가상 클라우드(VPC)에 대해 알아봅니다.

정의

  • AWS 리소스를 네트워크 레벨에서 격리하는 단위
  • AWS 처음 생성 시 => Default VPC가 생성
    • 기본적으로 리전 Region마다 생성됩니다.
  • 서브넷/라우팅 테이블을 직접 구성하여 별도 VPC를 세팅할 수 있습니다.

구성요소

VPC의 구성요소는 다음과 같습니다.

  • 서브넷 Subnet
  • 게이트웨이
  • 라우팅 테이블
  • 보안 그룹
  • NACL

AWS에서는 위에서 3가지를 구성하여 VPC를 구성할 수 있습니다.

- 서브넷
- 라우팅
- 게이트웨이

사용 이유

VPC를 사용하는 이유는 다음과 같습니다:

  • 불필요한 외부 노출을 막기 위해 사용합니다.

  • 법률 또는 내부 정책 or 보호 인증에 의해 망 분리

    • 물리적 망분리만 인정되었음.
    • 논리적 망분리까지 최근에 인정됨.
      • AWS 등 해외 클라우드 업체도 망분리 인증을 받게 되었습니다.

  • Public 서브넷 :외부에 직접 노출할 수 있음

  • Private 서브넷: 외부에서 접근할 수 없습니다.

  • Load Balancer : 트래픽 크기에 따라 인스턴스를 증감해줍니다.

VPC 생성

첫 생성 시

----------------------
|   Public Subnet    |
|--------------------|
|   Private Subnet   |
----------------------
  1. 서브넷 생성
    • 퍼블릭, 프라이빗 서브넷을 생성합니다.
  2. Gateway 생성
    • 날짜로 이름을 생성하면 편리합니다.
    • 인터넷 연결을 위한 게이트웨이가 필요합니다.
    • Gateway 연결이 완료되면 VPC가 인터넷과 연결됩니다.
  3. 라우팅 테이블
    • VPC 첫 생성 시 자동 생성이 되거나 안될 수 있습니다.
    • 자동 생성이 없을 시 "라우팅 테이블" 옵션에서 새로 생성합니다.
    • 용도: VPC와 인터넷이 연결되는 설정을 작성한 테이블입니다.
    • 생성 이후 -> 테이블을 수정합니다. ex) 10.0.0.0 : default 주소
      • 주의: 라우팅 테이블에서 생성한 VPC의 퍼블릭 서브넷과 인터넷(network)을 연결해야 합니다.

Subnet

정의: IP 주소 범위

  • 서브넷을 통해 네트워크 망을 구분하고 연결합니다.
  • 서브넷을 구분하기 위해 사용하는 것 = 서브넷 마스크
    • 계산하는 것이 정보처리기사 시험에 출제되곤 합니다.

Security Hub

  • AWS 보안 서비스 간의 통합 및 중앙 집중식 보안 상태 모니터링을 제공하는 서비스입니다.
  • 여러 AWS 계정과 리전에서 수집된 보안 데이터를 통합하여 위협을 탐지하고 대응을 용이하게 합니다.
  • 자세한 내용은 AWS Security Hub 공식 문서를 참조하면 좋습니다.