13. 관리 및 보안 서비스3강. 보안 취약점 점검 도구 및 모니터링

(1)

13. 관리 및 보안 서비스

3강. 보안 취약점 점검 도구 및 모니터링

학습내용

- 보안 취약점 점검 도구 및 모니터링(AWS) 학습목표

- 클라우드 제공업체(AWS)의 보안 취약점 점검 도구 및 모니터링에 대해 설명할 수 있다.

1. 보안 취약점 점검 도구 및 모니터링(AWS) [참고] AWS 보안, 자격증명 및 규정준수 서비스

https://aws.amazon.com/ko/products/security/?nc2=h_ql_prod_se

1) AWS 보안 접근 전략

2) Amazon GuardDuty

- 클라우드에 특화된 로그 기반 위협 탐지 및 통지 서비스

- [참고] 온프레미스 네트워크 기반 실시간성 탐지 목적 : IDS/ IPS - IDS (Intrusion Detection System) : 침입 탐지 시스템

- IPS (Intrusion Prevention System) : 침입 방지 시스템

(2)

가. 특징

- 관리형 위협 탐지 서비스

- 아키텍처 변경이나 성능 저하 없이 손쉽게 - 원클릭으로 활성화 가능

- AWS 계정 및 리소스에 대한 상시 모니터링

- No Agents, No Sensors, No Network Applications - 글로벌 커버리지, 리전 기반 적용

- 간단하고 효과적인 가격 체계

나. 데이터 소스

다. 위협 탐지 유형

- 머신러닝 기반 이상 행동 탐지(Anomaly Detection)

→ 비정상적 사용자 행동 : EC2 인스턴스 생성, 네트워크 Permission 변경

→ 비정상적인 트래픽 패턴 - Threat Intelligence

→ EC2 및 IAM에 관련된 위협 탐지

(3)

→ 비트코인 Mining - 위협 결과

: Finding Types → 세 가지 수준 (낮음, 중간 또는 높음) 중 하나로 표시

라. 탐지 내역

- 심각도 수준(Severity levels)

- 탐지내역 처리

- AWS Security Hub, Amazon S3 Bucket, CloudWatch Events로 연계 - 세부적인 증거와 해결 권장 사항이 함께 표시

- 사례

→ 탈취된 인스턴스에 대한 정지

→ Lambda Function 이용 시 EBS Volume에 스냅샷 저장, 보안팀 경보, 현재 SG에 서 삭제하고 양방향 통신 차단

3) AWS Single Sign-On(SSO)

- AWS 콘솔 및 비즈니스 어플리케이션에 대한 싱글 사인 온을 중앙 집중 관리하는 Cloud 기반 Single Sign-On (SSO) 서비스

(4)

4) Amazon Inspector

- 애플리케이션의 취약점과 모범 사례 등을 자동으로 평가하여 보안 및 규정 준수를 개선 시키도록 지원하는 서비스

→ 에이전트를 이용한 API 기반 서비스

: EC2 인스턴스에 Agent를 설치하여 수집하는 방식

→ 웹 대시보드나 3rd Party 프로그램 등을 해 중앙에서 확인하고 직관적으로 파악 가능 → 취약성 관련 수백 개의 규칙들을 수행

→ 정기적으로 AWS에서 최신의 보안 규칙을 업데이트 → 최신의 설정으로 평가

가. 적용 계층 및 예시

나. 대중적 규칙 패키지 예

① CVE (Common Vulnerabilities and Exposures)

: 보안 취약점과 공개된 위험 노출에 대한 참조 방법 제공 패키지

② CIC Operating System Security Configuration Benchmarks

: 보안을 향상시키기 위해 잘 정의되고 합의된 업계 모범 사례 제공 패키지

③ Security Best Practices

: 시스템의 설정 혹은 구성이 보안적인지 확인할 수 있도록 다양한 사례 제시

④ Runtime Behavior Analysis

: 인스턴스들의 평가 항목을 통해 행동 상태를 분석하고 보다 안전하게 구성하는 지침 제공

다. Agent 기반 도구

- 고객 Workload 수집

- AWS의 간섭 걱정 : 1way 통신 - 태깅된 인스턴스만 적용할 수 있음 - 간단한 구성 (Admin/Root 권한)

→ 리눅스 (실행파일/커널모듈)

(5)

→ 윈도 (Updater/커널 드라이버) - 1Way TLS 통신 : Agent → Inspector - Inspector, S3로의 Outbound Path 필요

→ inspector.<region>.amazonaws.com

→ S3.dualstack.<region>.amazonaws.com - Proxy 구성 지원

→ HTTPS proxy (Linux)

→ WinHTTP proxy (Windows)

마. 효과

- 애플리케이션 보안 문제 파악 - 통합되고 자동화된 보안 - 지속적인 보안

- 보안 표준 및 규정 준수 간소화 - 개발 민첩성 향상

5) AWS WAF

- Web Application Firewall

- 일반적인 웹 취약점 공격으로부터웹 애플리케이션을 보호하는 목적을 가진 웹 애플리케 이션 방화벽 → 종량제 구조의 비용 효율적

- Amazon CloudFront 사용을 전제 → Edge단에서 동작 - 트래픽에 따른 자동 확장성 제공

가. 많은 규칙 유형 중에서 선택

① OWASP(Open Web Application Security Project) 상위 10개 보안 위험 → 일반적인 공격 패턴 차단

→ 과도한 리소스 사용 공격 : DDos (AWS Shield) → SQL 명령어 injection

→ 교차 사이트 스크립팅

(6)

→ Web Site Scraping (Crawlers, BOTs)

② CMS(Content Management Systems)에 대한 특정 위협 또는 새로 발생하는 CVE(Common Vulnerabilities and Exposures) 와 같은 문제 처리 규칙

③ Custom Defined 규칙 생성 가능

나. 참고 용어

① XSS (Cross Site Scripting)

- 공격자가 의도적으로 브라우저에서 실행될 수 있는 악성 스크립트를 웹 서버에 입력 또 는 출력 시 위험한 문자를 중성화 시키지 않고 처리하는 애플리케이션 개발 과정에서 발생

- 자바 스크립트, ActiveX 등 클라이언트에서 실행되는 동적 데이터를 생성하는 모든 언 어에서 발생 가능

② Website Scraping

- 웹 사이트에서 데이터를 추출하는 데 사용

- 봇 : 특정 작업을 수행하도록 프로그래밍 된 소프트웨어 응용 프로그램

③ SQL Injection

- 악의적인 사용자가 보안상의 취약점을 이용하여, 임의의 SQL 문을 주입하고 실행되게 하여 데이터베이스가 비정상적인 동작을 하도록 조작하는 행위

- 공격이 비교적 쉬운 편이고 공격에 성공할 경우 큰 피해를 입힐 수 있는 공격

6) AWS Security Hub

- AWS 계정 전반에 걸쳐 우선순위가 높은 보안 경고 및 규정 준수 상태를 종합적으로 확 인할 수 있는 서비스

- 방화벽 및 엔드포인트 보호부터 취약성 및 규정 준수 스캐너까지 다양하고 강력한 보안 도구 제공

- 타 보안 서비스 연계

: Amazon GuardDuty, Amazon Inspector, Amazon Macie - AWS 파트너 솔루션 연계

: APM 에서 제공되는 보안 경고 또는 평가 결과

- Security Hub 단일 공간에서 수집 및 정리하고 이에 대한 우선 순위를 지정하는 서비 스

- 규정 준수 검사

→ AWS 모범 사례 및 조직이 준수하는 업계 표준을 기반으로 하는 자동 규정 준수 검 사를 사용하여 환경을 지속적으로 모니터링

→ CIS (Center for Internet Security) AWS Foundations Benchmarks와 같은 산업 표준 및 모범 사례에 따라 계정 수준 구성 및 규정 준수에 대한 자동화된 지속적인 점검 수행

- 계정 전반에 걸친 통합적 분석

: 점검된 결과에 대한 통합적이고 유기적인 분석을 통한 보안 이벤트 식별 서비스 제공 → 시급한 처리가 필요한 탐지 내역에 대한 목록 제공

(7)

→ 연관관계, 필터, 우선 순위 등을 주어 Correlation시킨 Finding들의 집합 : AWS 및 파트너들이 100여 개 Insight 제공, Custom Insight 정의 지원 → Top 탐지 내역을 한번에 보여주는 대시보드 제공

: 그래프 및 표를 포함한 시각화 - 현재 상황의 전반적인 보안 현황 확인

- 동향 발견, 잠재적 문제점 파악 후 조치 수행 : CloudWatch Events와 통합하여 평가 결과 전달 (Ticketing, 채팅, 이메일, 또는 자동 수정 시스템)

- AWS 서비스와 파트너 보안 서비스로부터의 탐지 내역에 대한 통합 & 우선 순위 정리

7) Amazon Detective

- New Service(2020) - Security Hub와 연계

- GuardDuty와의 차이점 → Finding만 제공(GuardDuty)

→ Finding에 대한 다양한 분석 작업 수행 → 연관 분석 등을 통한 자세한 근본 원인 파악

- 잠재적 보안 문제나 의심스러운 활동의 근본 원인을 쉽고 빠르게 분석, 조사 및 식별 - 로그 데이터 자동 수집 : CloudTrail, VPC Flow Logs,GuardDuty Finding

- 기계 학습, 통계 분석 및 그래프 이론 등을 사용하여 보안 관련 조사 시행

-Investigate potential security issues

(8)

2. AWS 보안 서비스 관계

(9)

평가하기

1. 다음 괄호에 알맞은 용어는 무엇입니까?

VPC Flow Logs, DNS Logs, CloudTrail 로그 등의 로그에 기반하여 클라우드에 특화 된 AWS의 로그 기반 위협 탐지 및 통지 서비스는 ( ) 입니다.

- 정답 :GuardDuty

해설 : 아키텍쳐 변경이나 성능 저하 없이 손쉽게 원클릭으로 활성화 가능하고 AWS 계 정 및 리소스에 대한 상시 모니터링을 지원합니다.

2. 다음 중 AWS의 보안취약점 도구에 해당하지 않는 것은?

① Amazon Inspector

② Amazon Detective

③ AWS Security Hub

④ Amazon Polly - 정답 : ④

해설 : Amazon Polly는 텍스트를 생생한 음성으로 변환해주는 AWS의 AI 서비스입니다.

(10)

학습정리

1. 보안 취약점 점검 도구 및 모니터링(AWS)

- 보안 사고 인지의 어려움에 대해 AI 규칙 기반의 탐지 솔루션 제공 - AWS 대표적 보안 취약점 탐지 모니터링 도구

▷ Amazon GuardDuty : 관리형 위협 탐지 서비스

▷ Amazon Inspector : Agent 기반의 보안 분석

▷ AWS Security Hub : 통합된 보안 및 규정 준수 센터

▷ AWS Config : AWS 리소스 구성 기록 및 평가

▷ AWS CloudTrail : 사용자 활동 및 API 사용 추적

▷ AWS Detective : 잠재적 보안 문제 조사

▷ CloudWatch : 리소스 및 애플리케이션 모니터링,

지표 수집 및 추적, 로그 파일 수집 및 모니터링, 경보 설정, AWS 리소스 변경에 자동 대응

다음 주 예고

“14. 클라우드 기반의 AI 서비스”입니다.