발표자료 다시보기: https://youtu.be/fSmjMp-YFTQ
빠르게 변화하고 다양한 서비스가 연계되어 있는 클라우드 환경에서는 조직의 규정 준수 및 강화된 보안을 위해서는 자동화된 보안 체계가 필수입니다. 이 세션에서는 AWS 서비스를 사용하기 위해 필요한 이미지(AMI)관리에서부터 보안 사고 발생 시 필요한 침해 사고 대응 절차까지 다양한 환경에서 발생할 수 있는 이벤트 및 이에 대한 자동화된 대응 방법에 대해 살펴봅니다.
7. AWS 에서의 가상 이미지 관리
DevOps 엔지니어
CI/CD Pipeline
VPC
보안 그룹
인스턴스 실행
Post-Update
스크립트 실행
인스턴스 정지이미지 생성
이미지 생성 서비스
Source AMI
결제권자
AWS 계정
CloudWatch
Event
Pre-Update
스크립트 실행
패치/라이브러리
업데이트
Tag 할당
이미지 사용
승인
Amazon SNS
인스턴스 실행
Inspector 설치
취약점 진단Parameter
Store
Golden AMI
1
2
3
4
5
8. EC2 Image Builder
쉽고 빠르게 자동화 환경을 생성 및 관리하고 ”Golden Image” 를 최신의 상태로 유지
서비스에 사용하기 전 테스트
환경을 제공함으로써 서비스
품질 개선
GUI 를 통해 VM 이미지를
위한 자동화 환경 생성
보안성, 호환성 유지 및 최신 정보
반영을 위한 비용 절감
9. 소스 이미지로 시작 소프트웨어와 설정에
대한 최적화 적용
AWS가 제공하거나
자체 제작한 템플릿을
이용하여 이미지 보안
적용
AWS 가
제공하거나 자체
구성한 테스트
시나리오 반영
선택한 AWS
리전에 “골드
이미지” 배포
모든 EC2 Image Builder 절차들은 고객의 AWS Account 에서 구동됩니다.
EC2 Image Builder – 동작 원리
업데이트가 있을 때마다 반복
10. • 어플리케이션 취약점에 대한 자동화된 진단 및
모범 사례에 기반한 진단 서비스
• 위협 레벨에 따라 가중치를 부여하고 상세한 탐지
내역을 제공
• 에이전트를 이용한 API 기반 서비스
자동화된 보안 평가 서비스
Network
OS/미들웨어
Web
application
적용 계층 진단 예시
SQL 삽입
Cross-site scripting
OS 명령어 삽입
파라미터 변경
OS/MW Exploit
설정 오류
취약한 암호 설정
포트 스캐닝
사용되지 않는 리스너
외부에 노출된 서비스
Amazon Inspector 의 진단 범위
Amazon Inspector
11. Amazon Inspector 의 사용
Assessment
구성
Assessment
실행
탐지 내역
처리
Amazon Inspector
Partner
• SIEM
• Reporting
• Ticketing
취약점
대상 AWS 자원
권고 사항
대응
16. Amazon VPC
Flow Logs
AWS Lambda
(ingester function)
Lambda 로
로그 스트리밍
Amazon
CloudWatch Logs
VPC Flow 로그를
CloudWatch 로 전달
Kinesis Data Firehose
로 전달
Amazon Kinesis
Data Firehose
Amazon Elasticsearch Service
후처리 로그를
Elasticsearch 로 전달
보안팀
로그 분석
AWS Lambda
(ingestor function)
데이터 강화
3rd Party Data
메타데이터 수집/호출
https://github.com/aws-samples/aws-vpc-flow-log-appender/
VPC Flow 로그 처리
탐지 및 응답
21. https://github.com/aws-samples/amazon-guardduty-waf-acl/
Amazon GuardDuty Amazon
CloudWatch
Event rule
SSH Brute Force 탐지 이벤트가
CloudWatch Event Rule 호출
AWS Lambda
CloudWatch Event Rule 이 Lambda
호출
AWS WAF
AWS WAF IP이 생성되고
Web ACL 에 추가
Amazon DynamoDB
IP 리스트
업데이트
Amazon VPC
Network access
control list (ACL)
IP 차단을 위한
Network ACL 규칙 생성
Amazon SNS Topic
SNS 로 내용전달
보안팀에 경보 발생
탐지 및 응답 – Brute Force 공격 대응
22. Amazon GuardDuty Amazon
CloudWatch
Event rule
Cryptocurrency 공격 탐지 이벤트가
CloudWatch Event Rule 호출
AWS Systems
Manager Run
Command
CloudWatch Event Rule
에서 각각 호출 인스턴스 서비스 중단 및 메모리 캡쳐
Amazon EC2
instance
Auto Scaling group 에서
제거 후 Snapshot 생성
AWS Systems
Manager
Automation
AWS Lambda
메모리 덤프와 Snapshot 을
별도의 포렌직 계정으로 이동
포렌직
AWS Account
탐지 및 응답 – 인스턴스 침해 대응
29. Security Hub 에서의 Custom Action
Rule
Event
Custom
Action
Lambda
Function
Rule
Event
Custom
Action
Kinesis Stream
Rule
Event
Custom
Action
Run
command
Simple
Notification
Service
30. 모든 탐지 내역에 대한 조치 수행
Security Hub 에 통합된 모든 보안 서비스의 새로운 탐지 내역은 CloudWatch Event 로
전송됩니다.
31. 사고 대응 플레이북 기본 구성
Amazon
CloudWatch
Events
AWS
CloudTrail
AWS Config
Lambda
function
AWS APIs
탐지
분석
대응
협업 도구
(Slack, etc.)
Amazon
GuardDuty
VPC Flow Logs
Amazon
Inspector
Amazon Macie
AWS Security Hub
32. AWS 온라인 교육
추천 교육 과정
• AWS Cloud Practitioner Essentials (Second Edition) (Korean)
AWS 클라우드의 기초를 배우고, 기본 자격증인 AWS Certified Cloud
Practitioner 시험을 준비하세요.
• Amazon DynamoDB for Serverless Architectures
이 과정은 Amazon DynamoDB가 무엇이고 서버리스 아키텍쳐를 구축하는 데
어떻게 활용되는지 소개합니다.
• AWS Security Fundamentals (Korean)
이 과정은 기초적인 클라우드 컴퓨팅을 비롯해 AWS 액세스 제어 및 관리,
거버넌스, 로깅 및 암호화 방법 등 AWS의 보안 개념을 소개합니다.
• Getting Started with Amazon Simple Storage Service (Amazon S3)
이 과정은 S3의 일반적인 사용 사례를 통해 어떻게 S3가 애플리케이션에 객체
스토리지를 제공하는지 소개하며, 언제 S3를 활용해야 하는지 알려 드립니다.
자신의 속도에 맞춰 학습하세요.
무료 AWS 디지털 교육을 통해
편한 시간에 원하는 장소에서
최신 클라우드 기술을
학습할 수 있습니다.