* 발표 동영상: https://youtu.be/r84IuPv_4TI
AWS 서비스 환경을 대상으로 하는 각종 보안 위협에 대응하기 위해 인터넷에서 유입되는 트래픽에 대한 안전한 보호와 VPC 내부에서 발생할 수 있는 다양한 네트워크 트래픽을 보다 효율적이고 안전하게 보호할 수 있는 네트워크 보안 구성 방안과 모범 사례에 대해 소개합니다.
2. 강연 중 질문하는 방법
오른쪽의 “Questions/질문” 창에 질문을
남겨주세요. 본인만 답변을 받고 싶으신 경우,
(비공개)라고 하고 질문해 주시면 됩니다.
본 컨텐츠는 고객의 편의를 위해 AWS 서비스 설명을 위해 온라인 세미나용으로 별도로 제작, 제공된 것입니다. 만약 AWS
사이트와 컨텐츠 상에서 차이나 불일치가 있을 경우, AWS 사이트(aws.amazon.com)가 우선합니다. 또한 AWS 사이트
상에서 한글 번역문과 영어 원문에 차이나 불일치가 있을 경우(번역의 지체로 인한 경우 등 포함), 영어 원문이 우선합니다.
AWS는 본 컨텐츠에 포함되거나 컨텐츠를 통하여 고객에게 제공된 일체의 정보, 콘텐츠, 자료, 제품(소프트웨어 포함) 또는 서비스를 이용함으로 인하여 발생하는 여하한 종류의 손해에
대하여 어떠한 책임도 지지 아니하며, 이는 직접 손해, 간접 손해, 부수적 손해, 징벌적 손해 및 결과적 손해를 포함하되 이에 한정되지 아니합니다.
고지 사항(Disclaimer)
3. Agenda
• AWS 네트워크 보안 개요
• 서비스 & 모범 사례 :
• 네트워크 격리 및 접근 제어 - Amazon VPC
• 어플리케이션 위협 보호 - AWS WAF
• DDoS 방어 - AWS Shield
• 네트워크 방화벽 - AWS Network Firewall
7. 어떤 공격이 있을까 ?
Hardware hacking, physical access
attacks, sniffing
Mac spoofing, sniffing
IP attacks,
Port scanning, DDoS, Flag
manipulation
Session hijacking, SYN attacks
Protocol attack
Sql injection, exploit code, malware
8. 네트워크 보호를 위한 5개 레이어
확장성이 뛰어나고 안전하며 편하게 모니터링할 수 있는
DDoS 보호 애플리케이션을 구축하겠다.Objective:
네트워크 격리
네트워크 접근 제어
네트워크 방화벽
어플리케이션 위협 보호
DDoS 방어
AWS
Marketplace
10. 네트워크 보호의 시작 - VPC (Virtual Private Cloud)
AvailabilityZoneA
AvailabilityZoneB
ELB ELB
Instances Instances
AWS Cloud
VPC (10.0.0.0/16)
Public subnet Public subnet
Private subnet Private subnet
11. 보안 그룹 (Security Group)
DB 보안 그룹
Inbound Rules : TCP/3306,
Source: Web 보안 그룹
ssh/22
Http:80
Blocked
Web 보안 그룹
Inbound Rules : TCP/80
Source: ELB 보안그룹
인스턴스 단위
상태 저장 (stateful)
동적 구성
최소 권한 원칙
VPC
ELB 보안 그룹
Inbound Rules : TCP/80
Source: 0.0.0.0/0
12. 네트워크 접근 제어 리스트 (NACL)
VPC Subnet 1 VPC Subnet 3
10.0.0.0/24 10.0.1.0/24
VPC Subnet 2 VPC Subnet 4
10.0.2.0/24 10.0.3.0/24
서브넷 단위
상태 비저장 (stateless)
최소권한원칙
VPC
14. VPC Endpoints
Instance BNAT-GW0.0.0.0/0
AWS Region
Private subnet
Internet
Public subnet
Amazon S3
IGW
VPCE(s)
10.1.0.0/16 Local
0.0.0.0/0 IGW
Destination Target
10.1.0.0/16 Local
S3.prefix.list VPCE-123
Destination Target
AWS Glue
ENI
15. Traffic Monitoring
vs.
VPC Flow Logs VPC Traffic Mirroring
- Real network packets with the ability to truncate
- Destination: Another elastic network interface or
Network Load Balancer
- Logs of network flows
- Each record captures the network flow for a
specific 5-tuple, for a specific capture window
- Destination: Amazon S3 or Amazon CloudWatch
Logs
- Real network packets
AWS
account
Source IP
Destination IP
Source port
Destination port
Interface
Protocol Packets
Bytes
Start/end time
Accept or
reject
EC2
instance
Inbound packets
Outbound packets
Monitoring
instance
ENI-1 ENI-1
IGW
VPC
21. AWS WAF -
Web ACLs :
o AWS resource 지정 (CloudFront / ALB / API GW)
o 규칙을 추가하여 보호 전략을 정의
o Amazon managed rule
o Custom rule
o Web ACL에 대한 기본 작업 지정 (차단/허용)
o 규칙 우선순위 설정
o CloudWatch metric 지정
Rule groups:
o JSON 포멧의 룰
o Visual editor
o JSON editor
o 재사용 가능한 custom 규칙 저장
o 리전 특정
o 규칙 우선순위 설정
AWS WAF Console
IP sets:
o 규칙 문에 사용되는 IP 주소 및 IP 주소 범위
Regex pattern sets:
o 규칙 문에 사용되는 정규 표현식 모음
** Web ACL 혹은 Rule group에서 사용됨
Web ACL
생성
보호할
서비스 연결
규칙 정의
23. Category Ruleset Description WCU consumed
CRS Core Ruleset OWASP Top 10 및 CVE 700
CRS Admin Protection 외부에 노출된 어드민 페이지에 대한 엑세스 차단 100
CRS Known Bad Inputs 알려진 취약성 악용 요청 차단 200
EXR SQL DB SQL 데이터베이스 악용과 관련된 요청 패턴 차단 200
EXR Linux operating system
LFI(로컬 파일 포함) 공격을 포함, Linux 특정한 취약성 악용과
관련된 요청 패턴 차단
200
EXR POSIX operating system
LFI(로컬 파일 포함) 공격을 포함, POSIX 및 POSIX 유사 운영
체제에 특정한 취약성 악용과 관련된 요청 패턴 차단
100
EXR Windows operating system
PowerShell 명령의 원격 실행과 같이 Windows에 특정한 취약성
악용과 관련된 요청 차단
200
EXR PHP application 안전하지 않은 PHP 함수 삽입 차단 100
EXR WordPress application WordPress 관련된 취약성 악용과 관련된 요청 패턴 차단 100
IP List Amazon.com IP Reputation List Amazon 내부 위협 인텔리전스를 기반으로 봇과 같은 위협 차단 25
IP List Anonymous IP list
뷰어 ID의 난독화를 허용하는 서비스 요청을 차단 (VPN, 프록시,
Tor 노드 및 호스팅 공급자의 요청 등)
50
AWS 관리형 규칙 목록
24. Custom 규칙
일치 조건(한글) 설명
지역 일치
요청의 출처 국가를 검사
IP 집합 일치
요청 출처를 IP주소 및 주소 범위 집합과 비교
정규식 패턴 집합 정규식 패턴을 지정된 요청 구성 요소와 비교
크기 제약 조건 지정된 요청 구성 요소에 대해 크기 제약 조건을 검사
SQL 주입 공격 지정된 요청 구성 요소에서 악성 SQL 코드를 검사
문자열 일치 문자열을 지정된 요청 구성 요소와 비교
XSS 공격 지정된 요청 구성 요소에서 사이트 간 스크립팅 공격을 검사
일치 조건
논리적 규칙문
논리적 문 설명 중첩 가능 여부
AND 로직 중첩된 문을 AND 로직과 결합 예
NOT 로직 중첩된 문의 결과를 무효화 예
OR 로직 중첩된 문을 OR 로직과 결합 예
요청 구성 요소
헤더
HTTP 메서드
쿼리 문자열
단일 쿼리
파라미터
모든 쿼리
파라미터
URI
본문 (Body)
검사 요소
허용 (Allow)
차단 (Deny)
계수 (Count)
규칙 작업
소문자 변환
HTML 디코딩
공백 표준화
명령줄 간소화
URL 디코딩
텍스트 변환
Regular
비율 기반
규칙 타입
25. Request
Web Access Control List (Web ACL)
Managed
Rule Group
Single-digit
millisecond latency
Amazon
CloudFront
Application
Load Balancer
Amazon API
Gateway
Amazon
CloudWatch
Users
Rule 1
Rule 2
Rule Z
…
Order (Priority)
IP set
Action
Associated
AWS resources
Logging and Metrics
Rules
Default
Action
Allow
or
Deny
Actions:
• Accept
• Deny
• Count
Rule
Action
Rule
• Core ruleset
• Known bad
input
• SQL DB
• Linux
• ….
Custom
Rule Group
Rule 1
Rule 2
Rule Z
……
Rule
• GeoMatch
• Regex pattern
• String match
• SQLi
• Size match
• Xss
26. CloudWatch Metrics
• 모든 규칙에 대한 메트릭 제공
• Allowed | Blocked | Counted |
Passed
Sampled Web Requests
• Detailed logs, of a Sample of
requests
• Automatically available for every
Rule
Full Logs
• Detailed logs, of Every request this
word just for spacing
• Optionally enabled for your WebACL
Use Case
알람 설정
Use Case
Quickly test AWS WAF Rules
Easy triaging on the console
Use Case
Security analytics, monitoring,
automation, auditing, and compliance
28. AWS WAF를 선택하는 이유
AWS 서비스들과의
seamless 한 통합
쉬운 구성
Amazon
관리형 규칙
Custom 규칙
AWS
마켓플레이스
Cloudwatch
Sampled
request
Full Log
WAF
Automation
AWS Firewall
manager
34. DDoS를 대응하는 자세
공격지점을 최소화
공격을 흡수할 수 있는 확장성을 구현
AWS 관리형 서비스들을 앞 단에 배치
정상 상태에 대한 기준을 확립
노출된 리소스에 대한 대책을 수립
공격에 대응하기 위한 계획을 수립
35. Private subnetPublic subnet
DDoS Resilient 참조 아키텍처 – 공격 지점 최소화
Amazon
Route 53
EC2
ALB
Amazon
CloudFront
AWS WAF
Amazon
API Gateway
DDoS
Attack
Users
AWS Cloud
VPC
Web Application
Security GroupALB Security Group
BP1
BP4
BP5
Auto Scaling
group
36. Private subnetPublic subnet
DDoS Resilient 참조 아키텍처 – 인프라 레이어
Amazon
Route 53
EC2
ALB
Amazon
CloudFront
AWS WAF
Amazon
API Gateway
DDoS
Attack
Users
AWS Cloud
VPC
Web Application
Security GroupALB Security Group
BP1
BP3
BP6
Auto Scaling
group
BP7
37. Private subnetPublic subnet
DDoS Resilient 참조 아키텍처 – 어플리케이션 레이어
Amazon
Route 53
EC2
ALB
Amazon
CloudFront
AWS WAF
Amazon
API Gateway
DDoS
Attack
Users
AWS Cloud
VPC
Web Application
Security GroupALB Security Group
BP1BP2
Auto Scaling
group
38. 기준, 계획, 대응
• CloudWatch를 통해 정상 사용
수준에 대한 이해와 측정
• 수립한 아키텍쳐에 대한 복원력
검증
• 공격 수용시 서비스 확장의 규모
및 비용에 대한 부분 고려
• 공격 받을 경우 비상 연락망
• 지능적이고 즉각적인 대응
예 : WAF 규칙 자동 업데이트
40. Shield Standard Shield Advanced
별도 비용 없이 모든 AWS 고객들이
이미 사용 중!
대규모 혹은 복잡한 공격으로부터
서비스를 보호하는 유료 서비스
CloudFront EIPRoute53 ELB Global
Accelerator
41. AWS Shield Advanced
DDoS Response Team (DRT) 의 24x7 지원
AWS WAF 및 Firewall Manager 기본(무료)제공
DDoS Visibility 제공
CloudWatch 메트릭
공격 진단 리포트
글로벌 위협 환경 대시보드
공격 수용에 따른 AWS자원 사용비용 경감
관리형 Anti-DDoS 서비스
46. AWS Network Firewall 의 차이점
• IP / 포트 / 프로토콜 기반 정책
• 인스턴스/서브넷 기반 엑세스 제어
• 웹 앱을 위한 방화벽
• 인터넷 > 어플리케이션 트래픽에 적용
• ENI 수준에서 작동, 타입 제한
• Out of band 구성에 비동기
• 추가적인 보안 제어
• VPC내 모든 흐름을 검사
• Layer 3 ~ Layer 7 에 상호보완적
• Internal threat 에도 활용 가능
• VPC내 모든 흐름을 검사
• 인라인 및 동기식 동작
47. AWS Network Firewall Service
Rule group 생성
Firewall policy
생성
Firewall 생성
라우팅 테이블
편집
48. AWS Network Firewall
Firewall subnet
Customer subnet
Stateless
engine
Stateful
engine
x
Drop
x
Drop
Pass
Forward to stateful
x
Drop
x
Drop
51. AWS 온라인 이벤트 – 클라우드 보안 특집에
참석해주셔서 대단히 감사합니다.
저희가 준비한 내용, 어떻게 보셨나요?
더 나은 세미나를 위하여 설문을 꼭 작성해 주시기 바랍니다.
aws-korea-marketing@amazon.com
twitter.com/AWSKorea
facebook.com/amazonwebservices.ko
youtube.com/user/AWSKorea
slideshare.net/awskorea
twitch.tv/aws