발표자료 다시보기: https://youtu.be/fSmjMp-YFTQ 빠르게 변화하고 다양한 서비스가 연계되어 있는 클라우드 환경에서는 조직의 규정 준수 및 강화된 보안을 위해서는 자동화된 보안 체계가 필수입니다. 이 세션에서는 AWS 서비스를 사용하기 위해 필요한 이미지(AMI)관리에서부터 보안 사고 발생 시 필요한 침해 사고 대응 절차까지 다양한 환경에서 발생할 수 있는 이벤트 및 이에 대한 자동화된 대응 방법에 대해 살펴봅니다.

1. AWS Builders
Online Series
보안 자동화! 이미지 생성부터
침해사고 대응까지!
신 은 수
Security Specialist Solutions Architect

2. 왜 전통적인 보안은 어려운 것일까요?
가시성의 결여 낮은 수준의 자동화

3. OR빠른 변화 보안 유지
예전에는…

4. ORAND빠른 변화 보안 유지
현재는…

5. 보호 탐지 대응
자동화
분석
복구식별
AWS Systems
Manager
AWS Config
AWS
Lambda
Amazon
CloudWatch
Amazon
Inspector
Amazon
Macie
Amazon
GuardDuty
AWS Security
Hub
AWS IoT
Device
Defender
AWS Key
Management
Service
AWS Identity
and Access
Management
(IAM)
AWS
Single
Sign-On
Snapshot Archive
AWS
CloudTrail
Amazon
CloudWatch
Amazon VPC
AWS
WAF
AWS ShieldAWS
Secrets
Manager
AWS
Firewall
Manager
탐지
보호
AWS에서 제공하는 보안서비스
Amazon
Detective

6. EC2 Image Builder

7. AWS 에서의 가상 이미지 관리
DevOps 엔지니어
CI/CD Pipeline
VPC
보안 그룹
인스턴스 실행
Post-Update
스크립트 실행
인스턴스 정지이미지 생성
이미지 생성 서비스
Source AMI
결제권자
AWS 계정
CloudWatch
Event
Pre-Update
스크립트 실행
패치/라이브러리
업데이트
Tag 할당
이미지 사용
승인
Amazon SNS
인스턴스 실행
Inspector 설치
취약점 진단Parameter
Store
Golden AMI
1
2
3
4
5

8. EC2 Image Builder
쉽고 빠르게 자동화 환경을 생성 및 관리하고 ”Golden Image” 를 최신의 상태로 유지
서비스에 사용하기 전 테스트
환경을 제공함으로써 서비스
품질 개선
GUI 를 통해 VM 이미지를
위한 자동화 환경 생성
보안성, 호환성 유지 및 최신 정보
반영을 위한 비용 절감

9. 소스 이미지로 시작 소프트웨어와 설정에
대한 최적화 적용
AWS가 제공하거나
자체 제작한 템플릿을
이용하여 이미지 보안
적용
AWS 가
제공하거나 자체
구성한 테스트
시나리오 반영
선택한 AWS
리전에 “골드
이미지” 배포
모든 EC2 Image Builder 절차들은 고객의 AWS Account 에서 구동됩니다.
EC2 Image Builder – 동작 원리
업데이트가 있을 때마다 반복

10. • 어플리케이션 취약점에 대한 자동화된 진단 및
모범 사례에 기반한 진단 서비스
• 위협 레벨에 따라 가중치를 부여하고 상세한 탐지
내역을 제공
• 에이전트를 이용한 API 기반 서비스
자동화된 보안 평가 서비스
Network
OS/미들웨어
Web
application
적용 계층 진단 예시
SQL 삽입
Cross-site scripting
OS 명령어 삽입
파라미터 변경
OS/MW Exploit
설정 오류
취약한 암호 설정
포트 스캐닝
사용되지 않는 리스너
외부에 노출된 서비스
Amazon Inspector 의 진단 범위
Amazon Inspector

11. Amazon Inspector 의 사용
Assessment
구성
Assessment
실행
탐지 내역
처리
Amazon Inspector
Partner
• SIEM
• Reporting
• Ticketing
취약점
대상 AWS 자원
권고 사항
대응

12. Event (event-
based)
Amazon Inspector – 지속적인 보안 업데이트

13. 로그 분석

14. AWS CloudTrail AWS Lambda
(post processor)
PutEvent 가
Lambda 호출
Amazon DynamoDB
메타데이터 저장/호출
Amazon
S3 Bucket
CloudTrail 로그를
S3 버킷에 저장
Amazon
Elasticsearch
후처리 로그를
Elasticsearch 로 전달
보안팀
로그 분석
탐지 및 응답
AWS CloudTrail 로그 처리

15. CloudTrail 로그 시각화

16. Amazon VPC
Flow Logs
AWS Lambda
(ingester function)
Lambda 로
로그 스트리밍
Amazon
CloudWatch Logs
VPC Flow 로그를
CloudWatch 로 전달
Kinesis Data Firehose
로 전달
Amazon Kinesis
Data Firehose
Amazon Elasticsearch Service
후처리 로그를
Elasticsearch 로 전달
보안팀
로그 분석
AWS Lambda
(ingestor function)
데이터 강화
3rd Party Data
메타데이터 수집/호출
https://github.com/aws-samples/aws-vpc-flow-log-appender/
VPC Flow 로그 처리
탐지 및 응답

17. VPC Flow 로그 시각화

18. 사고 대응

19. 탐지 내역에 대한 조치
Amazon
CloudWatch
CloudWatch
Event
보고 조치 수행
Amazon
GuardDuty
탐지

20. AWS Security
Hub
Amazon
CloudWatch
CloudWatch
Event
통합 보고 조치 수행
Amazon
GuardDuty
탐지
탐지 내역 선별
탐지 내역에 대한 조치 – w/ Security Hub

21. https://github.com/aws-samples/amazon-guardduty-waf-acl/
Amazon GuardDuty Amazon
CloudWatch
Event rule
SSH Brute Force 탐지 이벤트가
CloudWatch Event Rule 호출
AWS Lambda
CloudWatch Event Rule 이 Lambda
호출
AWS WAF
AWS WAF IP이 생성되고
Web ACL 에 추가
Amazon DynamoDB
IP 리스트
업데이트
Amazon VPC
Network access
control list (ACL)
IP 차단을 위한
Network ACL 규칙 생성
Amazon SNS Topic
SNS 로 내용전달
보안팀에 경보 발생
탐지 및 응답 – Brute Force 공격 대응

22. Amazon GuardDuty Amazon
CloudWatch
Event rule
Cryptocurrency 공격 탐지 이벤트가
CloudWatch Event Rule 호출
AWS Systems
Manager Run
Command
CloudWatch Event Rule
에서 각각 호출 인스턴스 서비스 중단 및 메모리 캡쳐
Amazon EC2
instance
Auto Scaling group 에서
제거 후 Snapshot 생성
AWS Systems
Manager
Automation
AWS Lambda
메모리 덤프와 Snapshot 을
별도의 포렌직 계정으로 이동
포렌직
AWS Account
탐지 및 응답 – 인스턴스 침해 대응

23. 위협 사냥 (Threat Hunting)

24. Amazon Detective
Incident
Response
Hunting
Alert
Analysis
탐지 내역 식별
빠른 의사 결정을 통해 불필요한
Escalation 최소화
사고 분석
관련된 상황 파악,
연관 분석 개선
위협 사냥
데이터 수집
및 통합의 간소화

25. Amazon Detective
지역별 서비스 패턴 분석
비정상 API 이용 패턴 분석

26. Security Hub 를 통한 통합

27. AWS Security Hub 의 장점

28. AWS Security Hub 의 장점
조치 실행
통합된
탐지 내역 관리
규정 준수

29. Security Hub 에서의 Custom Action
Rule
Event
Custom
Action
Lambda
Function
Rule
Event
Custom
Action
Kinesis Stream
Rule
Event
Custom
Action
Run
command
Simple
Notification
Service

30. 모든 탐지 내역에 대한 조치 수행
Security Hub 에 통합된 모든 보안 서비스의 새로운 탐지 내역은 CloudWatch Event 로
전송됩니다.

31. 사고 대응 플레이북 기본 구성
Amazon
CloudWatch
Events
AWS
CloudTrail
AWS Config
Lambda
function
AWS APIs
탐지
분석
대응
협업 도구
(Slack, etc.)
Amazon
GuardDuty
VPC Flow Logs
Amazon
Inspector
Amazon Macie
AWS Security Hub

32. AWS 온라인 교육
추천 교육 과정
• AWS Cloud Practitioner Essentials (Second Edition) (Korean)
AWS 클라우드의 기초를 배우고, 기본 자격증인 AWS Certified Cloud
Practitioner 시험을 준비하세요.
• Amazon DynamoDB for Serverless Architectures
이 과정은 Amazon DynamoDB가 무엇이고 서버리스 아키텍쳐를 구축하는 데
어떻게 활용되는지 소개합니다.
• AWS Security Fundamentals (Korean)
이 과정은 기초적인 클라우드 컴퓨팅을 비롯해 AWS 액세스 제어 및 관리,
거버넌스, 로깅 및 암호화 방법 등 AWS의 보안 개념을 소개합니다.
• Getting Started with Amazon Simple Storage Service (Amazon S3)
이 과정은 S3의 일반적인 사용 사례를 통해 어떻게 S3가 애플리케이션에 객체
스토리지를 제공하는지 소개하며, 언제 S3를 활용해야 하는지 알려 드립니다.
자신의 속도에 맞춰 학습하세요.
무료 AWS 디지털 교육을 통해
편한 시간에 원하는 장소에서
최신 클라우드 기술을
학습할 수 있습니다.

33. aws-korea-marketing@amazon.com
twitter.com/AWSKorea
facebook.com/amazonwebservices.ko
youtube.com/user/AWSKorea
slideshare.net/awskorea
twitch.tv/aws
AWS Builders 온라인 시리즈에 참석해주셔서
대단히 감사합니다.
저희가 준비한 내용, 어떻게 보셨나요?
더 나은 세미나를 위하여 설문을 꼭 작성해 주시기 바랍니다.