Machine LearningBook ReviewsGithub

AWS Well-architected Framework - Security Pillar

AWS 고객듀이 μ‹€μˆ˜ν•˜κΈ° μ‰¬μš΄ λ³΄μ•ˆ 이슈λ₯Ό λ‹€λ€„μš”

λ³΄μ•ˆ λ””μžμΈ 원칙

κ°•λ ₯ν•œ Identity 관리 κΈ°λ°˜μ„ κ΅¬ν˜„

  • μ΅œμ†Œ κΆŒν•œ λΆ€μ—¬ 원칙 을 κ΅¬ν˜„ν•˜κ³ , AWS Resource κ°„μ˜ μƒν˜Έ μž‘μš©μ— λŒ€ν•œ 인가 κ³Όμ •μ—μ„œ μ μ ˆν•˜κ²Œ 직무 뢄리 ν†΅μ œ 적용

μ±…μž„ 좔적성 확보

  • λͺ¨λ“  λ³€κ²½ 사항과 μž‘μ—…λ“€μ„ μ‹€μ‹œκ°„ λͺ¨λ‹ˆν„°λ§/λ‘œκΉ…/감사

  • μžλ™ λŒ€μ‘ ν™˜κ²½ ꡬ성

λͺ¨λ“  계측에 λ³΄μ•ˆ 적용

  • 단일 λ³΄μ•ˆ 계측이 μ•„λ‹Œ λͺ¨λ“  계측 (Edge, VPC, ELB, EC2, OS 및 application) 에 ν•„μš”ν•œ λ³΄μ•ˆ κΈ°λŠ₯ 적용 및 ν†΅μ œ

Best practice μžλ™ 적용

  • κ²€μ¦λœ λ³΄μ•ˆκΈ°μ€€μ΄ μ„  μ μš©λ˜μ–΄ 버전 κ΄€λ¦¬λ˜λŠ” Template 기반 으둜, μžλ™μœΌλ‘œ μ•ˆμ „ν•˜κ²Œ Scailing ν™˜κ²½μ„ 지원할 수 μžˆλ„λ‘ κ΅¬ν˜„

전솑 쀑 및 유휴 μ‹œ Data 보호

  • Dataλ₯Ό 민감도 level둜 λΆ„λ₯˜ ν•˜κ³ ,

  • ν•„μš”μ‹œμ•”ν˜Έν™”, 토큰화 및 access μ œμ–΄

Data둜 λΆ€ν„° μ‚¬μš©μžλ₯Ό μ΅œλŒ€ν•œ 격리

  • κ΄€λ¦¬μžμ˜ μ‹€μˆ˜ 방지λ₯Ό μœ„ν•΄ μžλ™ 처리 processλ₯Ό μ μš©ν•˜κ³ , data 직접 access 및 μˆ˜λ™ 처리 과정을 μ΅œμ†Œν™”

    • but, λ‹€λ₯Έ μˆ˜λ‹¨μ΄ λ™λ°˜λ˜μ–΄μ•Ό 함

λ³΄μ•ˆ μ΄λ²€νŠΈμ— λŒ€ν•œ μΆ©λΆ„ν•œ λŒ€λΉ„

  • λ³΄μ•ˆ 사고 λŒ€μ‘ simulation 을 μ€€λΉ„ 및 μ‹€ν–‰

  • μžλ™ν™”λœ 도ꡬλ₯Ό μ‚¬μš©ν•˜μ—¬ 탐지/쑰사 및 볡ꡬ 속도 ν–₯상

1. λ³΄μ•ˆ governance

Sec 1) Workloadλ₯Ό μ–Όλ§ˆλ‚˜ μ•ˆμ „ν•˜κ²Œ μš΄μ˜ν•˜κ³  μžˆλŠ”κ°€?

λͺ¨λ²” 사둀

  1. Multi-account 둜 workload 뢄리 운영

  2. AWS account둜의 μ•ˆμ „ν•œ μ ‘κ·Ό κ΅¬ν˜„

  3. λ³΄μ•ˆ ν†΅μ œ λͺ©ν‘œλ₯Ό 수립 ν•˜κ³ , 지속적인 검증 μˆ˜ν–‰

  4. μ΅œμ‹  λ³΄μ•ˆ μœ„ν˜‘μ— λŒ€μ‘ 체계 확보

  5. μ΅œμ‹  λ³΄μ•ˆ μš”κ±΄, trend, κ·œμ • 듀을 workload에 반영

  6. Processλ‚˜ 배포 pipeline 상에 μžλ™ν™”λœ Testing 및 검증 단계 κ΅¬ν˜„

  7. μœ„ν˜‘λͺ¨λΈμ„ 톡해 잠재적인 μœ„ν˜‘λ“€μ„ 식별 ν•˜κ³  μš°μ„ μˆœμœ„ λΆ€μ—¬

  8. 주기적으둜 μƒˆλ‘œμš΄ λ³΄μ•ˆ μ„œλΉ„μŠ€ / κΈ°λŠ₯ / μ œν’ˆ 에 λŒ€ν•΄ 평가 및 적용

    • New feature κ°€ 계속 update 되고 있음

      • 이것에 λŒ€ν•œ 평가 및 적용 ν•„μš”!

AWS Account Planning

  • 사업뢀 별

  • 개발주기 별

  • ν”„λ‘œμ νŠΈ 별

AWS Landing Zone

  • AWS 직원이 νˆ¬μž…λ˜μ–΄ CloudFormation 을 κ΅¬μΆ•ν•΄μ€Œ

AWS Control Tower

https://aws.amazon.com/controltower/

  • Landing Zone μžλ™ ꡬ성 μ„œλΉ„μŠ€

  • 2개의 core account 생성

    1. Log_archive

    2. Audit

  • Core/Custom OU ꡬ쑰와 Account Factory wprhd

  • AWS SSOλ₯Ό μ΄μš©ν•œ Single Sign-On 제곡

    • with Active Directory custom option

  • 탐지 및 방지 용 25개의 Built-In guard rail 제곡

2. Identity& Access 관리

Sec 2) μ‚¬μš©μžμ™€ μ‹œμŠ€ν…œμ— λŒ€ν•œ Identityλ₯Ό μ–΄λ–»κ²Œ κ΄€λ¦¬ν•˜λŠ”κ°€?

λͺ¨λ²” 사둀

  1. MFA λ“± κ°•λ ₯ν•œ 인증 기법 적용

  2. μƒμ‹œ 자격증λͺ… λŒ€μ‹  μž„μ‹œ 자격증λͺ… ν™œμš©

  3. 자격증λͺ…을 μ•ˆμ „ν•˜κ²Œ 보관 및 관리

  4. μ€‘μ•™ν™”λœ IDP (identity provider) ν™˜κ²½ ꡬ좕과 인사 이벀트 연동

  5. μƒμ‹œ 자격증λͺ…μ˜ 주기적인 ꡐ체 와 감사

  6. IDP에 μ •μ˜λœ μ‚¬μš©μž κ·Έλ£Ήκ³Ό 속성을 μ ‘κ·Όμ œμ–΄μ— 적극 ν™œμš©

    • μ‚¬μš©μžκ°€ 무슨 속성을 κ°€μ§€κ³ μžˆκ³ , λΆ€μ„œκ°€ μ–΄λ–»κ²Œ λ˜λŠ”μ§€ λ“±μ˜ 속성을 ν™œμš©ν•˜μ—¬ κΆŒν•œμ„ align ν•œλ‹€

      • 속성에 따라 μžλ™μœΌλ‘œ μ μš©λ˜λŠ” 것이 포인트!

    • 속성에 tagging을 ν•΄μ„œ κ΄€λ¦¬ν•˜λ―€λ‘œ, μ†μ„±λ§Œ λ°”κΎΈλ©΄ μ‚¬μš©μžμ˜ κΆŒν•œμ„ λ°”κΏ€ 수 μžˆμ–΄μ„œ κ°„νŽΈ!

AWS SSO

  • AWS SSO enables administrators to configure and maintain all the necessary permissions for your accounts automatically, without requiring any additional setup in the individual accounts.

Credential Report & Config Rule

Config Rule

  • κ΄€λ¦¬ν˜• κ·œμΉ™ (access-keys-rotated) 이용

    • Parameter (maxAccessKeyAge) 일수 κΈ°μ€€ 초과된 Acess key듀을 주기적으둜 점검

      • 주기적으둜 Access keyλ₯Ό λ³€κ²½ν–ˆλŠ”μ§€ μ—¬λΆ€λ₯Ό timestamp둜 κΈ°λ‘ν•˜λŠ” λ“± κ·œμΉ™μ„ μ •ν•΄μ„œ κΆŒν•œ 관리

        • μ£ΌκΈ° μ„€μ • ν•„μš”ν•¨!

          • How?

            • AWS CLI 에 μ‚¬μš©μ‹œλ§ˆλ‹€ μž„μ‹œ 자격증λͺ…을 λ°›μ•„μ˜€λŠ” scriptλ₯Ό mapping ν•΄μ„œ 자격증λͺ…을 ꡐ체

  • κΈ°λ³Έ κ°’

    • 90일

  • 적발된 λŒ€μƒμ„ μžλ™μœΌλ‘œ κ΅μ²΄ν•˜κ³  μ†Œμœ μžμ—κ²Œ μ•Œλ €μ£ΌλŠ” λžŒλ‹€ ν•¨μˆ˜ λ“±μ˜ μ‘μš© κ°€λŠ₯

AWS Secret Manager

μ„œλ²„ μ‚¬μš©μž 관리 μΌ€μ΄μŠ€

1. AWS AD Domain Join

2. Session Manager

3. Instance Connect

  • SendSSHPublicKey Action을 톡해 SSH κ³΅κ°œν‚€λ₯Ό instance metadata에 μžλ™ 배포

    • 60초 λ™μ•ˆλ§Œ 쑴재 (short-term)

Sec3) μ‚¬μš©μžμ™€ μ‹œμŠ€ν…œμ— λŒ€ν•œ κΆŒν•œμ„ μ–΄λ–»κ²Œ κ΄€λ¦¬ν•˜λŠ”κ°€?

λͺ¨λ²” 사둀

  1. μ‚¬μš©μž μœ ν˜•, μ ‘κ·Ό μˆ˜λ‹¨ λ“± 각 μ ‘κ·Ό μ œμ–΄ μΌ€μ΄μŠ€λ³„ 상세 κΆŒν•œ μš”κ±΄ μ •μ˜ ν•˜κΈ°

  2. μ΅œλŒ€ν•œ μƒμ„Έν•œ λ ˆλ²¨μ—μ„œ μ΅œμ†Œ κΆŒν•œ λΆ€μ—¬ 원칙 μ€€μˆ˜

  3. λΉ„μƒμ‹œ μ ‘κ·Ό 승인 ν”„λ‘œμ„ΈμŠ€ κ·œμ •

  4. λ―Έμ‚¬μš© κΆŒν•œμ— λŒ€ν•œ μƒμ‹œ 회수 절차 ꡬ성

  5. μœ„μž„ 체계λ₯Ό μ§€μ›ν•˜λŠ” κΆˆν•œ κ°€λ“œλ ˆμΌ μ„€μ •

  6. 인사 μ΄λ²€νŠΈμ™€ μ—°λ™λ˜λŠ” κΆŒν•œ 생성, λ³€κ²½, 회수 절차 ꡬ성

  7. 퍼블릭 및 μ–΄μΉ΄μš΄νŠΈ κ°„ μ ‘κ·Ό 에 λŒ€ν•œ μƒμ‹œ λͺ¨λ‹ˆν„°λ§ 및 κ²½λΆ€ 체계 ꡬ성

  8. 곡유 λ¦¬μ†ŒμŠ€ 듀에 λŒ€ν•œ λͺ¨λ‹ˆν„°λ§ 및 거버닝 κ°•ν™”

IAM Access Advisor

  • Identity 기반 정책에 λŒ€ν•œ μ΅œμ†Œ κ΅¬λ„ˆν•œ λΆ€μ—¬ 검증

  • μ‹€ν–‰ action에 λŒ€ν•œ 이λ ₯ 제곡

    • S3

IAM Access Analyzer

  • Resource 기반 정책에 λŒ€ν•œ μ΅œμ†Œ κΆŒν•œ λΆ€μ—¬ 검증

  • λŒ€μƒ resource에 λŒ€ν•œ μ ‘κ·Ό 정책을 λΆ„μ„ν•˜μ—¬ public λ˜λŠ” 타 account 접근이 ν—ˆμš©λœ 뢀뢄을 μ•Œλ €μ€Œ

  • μƒμ‹œ λͺ¨λ‹ˆν„°λ§/νƒμƒ‰μœΌλ‘œ 정책이 λ³€κ²½λ˜λŠ” μˆœκ°„ 탐지

    • 탐지 ν›„ Security Hub 둜 전달

  • μ˜λ„μΉ˜ μ•Šμ€ λ³€κ²½μ˜ 경우, 즉각 쑰치

IAM Policy -Permission Boundary

  • μ‚¬μš©μžκ°€ κ°€μ§ˆ 수 μžˆλŠ” μ΅œλŒ€ κΆŒν•œμ„ μ œν•œ

    • μœ μ €λ³„λ‘œ μ΅œλŒ€ν•œ κ°€μ§ˆ 수 μžˆλŠ” permission에 λŒ€ν•œ boundary λ₯Ό μ„€μ •

    • Identity-based μ •μ±…μœΌλ‘œ λΆ€μ—¬λœ κΆŒν•œκ³Ό ꡐ집합 ν˜•νƒœλ‘œ μ μš©λœλ‹€ (ν•„ν„°μ—­ν• )

      • Group λ³„λ‘œλŠ” 지정할 수 μ—†λ‹€κ³  함!

Hands-On: AWS ν™˜κ²½μ—μ„œμ˜ 침해사고 λŒ€μ‘ workshop

http://gslim-public-workshops.s3-website.ap-northeast-2.amazonaws.com/incidentresponseworkshop/

+

Look it up

PreviousAmazon Security GroupNextFind EC2 Instance by Domain Name

Last updated