2024.07 - Security
교육 목표
AWS 인프라 및 서비스를 사용하여 보안 및 규정 준수 목표를 달성하는 방법
보안 사고 예방을 위한 AWS 아키텍처 보안 모범 사례
피해 및 보안 구성 사례 / AWS 보안 아키텍처 설계 소개
침해사고 대응 관련 실습
Agenda
13:30 - 13:45
교육 소개 및 환경 설정
13:45 - 14:30
AWS 아키텍처 보안 모범 사례 살펴보기
14:30 - 15:00
피해 및 보안구성 사례/AWS 보안 아키텍처 설계 소개
15:00 - 16:50
침해사고 대응 관련 실습
16:50 - 17:00
Wrap-up 및 Q&A
교육 자료
침해사고 대응 관련 실습
ALB 액세스 로그 분석
보안담당자는 동시접속자수의 변화는 크게 없는데 웹서버에 대한 요청이 급격히 늘어난것이 이상해서 ALB 엑세스 로그를 활성화 했습니다.
해당 문서를 참고해서 S3에 저장된 ALB 액서스 로그로 Athena 테이블을 생성하고 SQL 쿼리를 통해서 ALB로 요청을 가장 많이한 클라이언트의 IP 주소를 찾으세요.
ALB가 위치한 서브넷의 네트워크 ACL을 통해서 위에서 찾은 IP주소를 차단하고 CloudWatch를 통해서 해당 ALB의 Request가 감소하는지 확인하세요.
AWS WAF를 생성해서 ALB에 붙이고 5분간 200개 이상의 요청을 보낸 클라이언트를 차단하는 룰을 생성하고 CloudWatch를 통해서 해당 ALB의 Request가 감소하는지 확인하세요.
GuardDuty로 실시간 위협 탐지
보안담당자는 최근 이커머스 사이트에 대한 해커들의 공격이 날로 증가함에 따라 악의적 침해를 사전에 감지하고 선제 대응하고자 AWS GuardDuty의 사용을 고려하고 있습니다.
GuardDuty를 활성화 하세요. (실습 시간 관계상 사전에 GuardDuty를 활성화 해두었습니다)
GuardDuty 콘솔에서 악의적 활동이나 위협의 목록을 확인할수 있습니다. 지속가능한 방법으로 GuardDuty를 통해서 찾아진 위협들을 방어하세요.
AWS Config로 SSH 접근 제한
얼마전 한 개발자가 노트북을 분실했는데 비정상적인 루트를 통해서 동남아로 넘어가게 되었습니다. 해당 노트북을 불법으로 구입한 사람이 터미널 명령어 기록을 통해서 다수의 서버에 접속해서 문제를 일으켰습니다. 해당 사건이후 AWS에 있는 모든 보안그룹에서 22번 포트에 대한 접근을 사내 IP 또는 VPN 주소로만 제한하는 규정이 신설되었습니다. 다만 개발자들이 실수로 22포트를 0.0.0.0/0으로 설정할수 있어서 추가적인 조치가 필요한 상황입니다.
AWS Config를 활성화 하세요.
AWS managed rules에서 restricted-ssh 규칙을 추가하세요.
위에서 생성한 규칙에 아래와 같은 remediation을 추가하세요.
Method: Automatic remediation
Action: AWS-DisablePublicAccessForSecurityGroup
Resource ID parameter: GroupId
AutomationAssumeRole: 제공된 AutomationRoleArn
아래와 같은 인바운 규칙을 가진 보안그룹을 생성하세요.
Type: SSH
Source: Anywhere
보안그룹 생성 후 5 - 10분쯤 지나면 인바운드 규칙이 삭제된 것을 확인할수 있습니다. 만약 인바운드 규칙이 삭제되지 않았다면 AWS Systems Manager Automation에서 Automation 실행 내역을 확인하세요.
Last updated