AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016
4 likes4,378 views
5월 17일 서울COEX에서 열린 AWS Summit Seoul 2016에서 김기완 솔루션즈 아키텍트님이 발표하신 "AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략" 발표자료입니다.
![Configuration Item
"configurationItemVersion": "1.0",
"configurationItemCaptureTime": "2014…",
"configurationStateID": “….",
"configurationItemStatus": "OK",
"resourceId": "vol-ce676ccc",
"arn": "arn:aws:us-west-………",
"accountId": "12345678910",
"availibilityZone": "us-west-2b",
"resourceType": "AWS::EC2::Volume",
"resourceCreationTime": "2014-02..",
"tags": {},
"relationships": [
{
"resourceId": "i-344c463d",
"resourceType": "AWS::EC2::Instance",
"name": "Attached to Instance"
}
],
"relatedEvents": [
"06c12a39-eb35-11de-ae07-db69edbb1e4",
],
Metadata
Common Attributes
Relationships
Related Events](https://image.slidesharecdn.com/aws-160519073430/85/AWS-AWS-Summit-Seoul-2016-28-320.jpg)
![Configuration Item
"configuration": {
"volumeId": "vol-ce676ccc",
"size": 1,
"snapshotId": "",
"availabilityZone": "us-west-2b",
"state": "in-use",
"createTime": "2014-02-……",
"attachments": [
{
"volumeId": "vol-ce676ccc",
"instanceId": "i-344c463d",
"device": "/dev/sdf",
"state": "attached",
"attachTime": "2014-03-",
"deleteOnTermination": false
}
],
"tags": [
{
"tagName": "environment",
"tagValue": "PROD"
Configuration](https://image.slidesharecdn.com/aws-160519073430/85/AWS-AWS-Summit-Seoul-2016-29-320.jpg)
AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: AWS Summit Seoul 2016
- 1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 임기성 | 솔루션즈 아키텍트 2016 년 5월 17일 AWS 고급 보안 서비스를 통한 민첩한 보안 운영 전략
- 2. 목차 • AWS 보안에 대한 이해 • AWS Config 소개 • AWS Config Rules 소개
- 3. AWS 보안에 대한 이해
- 4. 일반적인 AWS 보안 적용 절차 1 AWS 보안에 대한 이해 2 규제 준수 사항 확인 3 IAM 연계 4 탐지 기능 적용 5 네트웍 보안 설정 6 데이터 보안 적용 7 변경 관리 최적화 8 보안 기능 자동화
- 5. AWS 보안은 책임 공유모델입니다. 1 AWS 보안에 대한 이해 AWS 기반 서비스 컴퓨트 스토리지 데이터베이스 네트워킹 AWS 글로벌 인프라 리젼 가용 영역 엣지 로케이션 네트웍 보안 IT 자산관리 고객 어플리케이션과 컨텐츠 고객 데이터 보안 접근 통제 AWS는 클라우드 자체의 보안/통제를 담당합니다. 고객은 AWS상의 고객환경에 대한 보안/통제를 담당합니다.
- 6. AWS Assurance Programs 2 규제 준수 사항 확인 AWS의 인프라는 이미 다양한 인증을 획득하고 있습니다. • SOC 1 (SSAE 16 & ISAE 3402) Type II • SOC 2 Type II, SOC 3 리포트 • ISO 27001, 9001, 27017, 27018 • PCI DSS Level 1 • FedRAMP, HIPAA 등 AWS Inspector Rule package AWS Professional Service AWS Partners AWS는 고객의 규제 요건을 준수하는데 도움이 될 수 있는 다양한 선택지를 제공합니다. Customers
- 7. 사용자 인증 및 권한 관리 3 IAM 연계 ü SMS 기반 MFA ü 폴리쉬 시뮬레이터 ü Console Search ü 리눅스 도메인 조인 ü Microsoft Active Directory AWS IAM AWS Directory service
- 8. 로깅 및 모니터링 4 탐지 기능 적용 AWS CloudTrail Amazon CloudWatch ü 모든 리전에 대한 일괄 활성화 ü 무결성 & 암호화 ü Archive & Forward ü Amazon CloudWatch Logs ü 메트릭 & 필터 ü 경보 & 통지
- 9. 네트웍 보안 5 네트웍 보안 설정 AWS VPC AWS WAF ü 방화벽 – NACL, Security Group ü VPC Flow Logs(방화벽 로그) ü Managed NAT ü 웹 요청 필터링 – IP, 문자열, SQL injection ü Amazon Cloudfront 연계 ü 대쉬보드
- 10. 데이터 보안 Amazon CloudHSM ü 타 AWS 서비스들과 연계 ü CloudTrail 연계 ü AWS SDK for application encryption ü 전용 HSM ü on-premises HSM 장비와 연계 ü 하이브리드 아키텍쳐 AWS KMS 6 데이터 보안 적용
- 11. 좀 더 고도화된 보안의 필요성 좀더 높은 가시성 자동화를 통한 편리성 • 셀프서비스 – 필요한 리소스를 각자 구축 • 리소스 등이 서로 연계되어 있음 • 구축 환경의 구성 내역에 대한 안전성 입증 필요 • 늘 발생하는 위배 내역에 대한 반복되는 조치 • 빈번한 변경과 즉시 반영 • 회사 보안 정책 적용과 이것의 입증이 필요
- 12. 민첩한 보안 운영 전략 = DevSecOps DevSecOps가 왜 필요할까요? • 전통적인 보안방식은 확장과 혁신에 많은 제약 • 빠른 의사결정이 필수적인 DevOps환경을 원활하게 지원할 새로운 보안 체계 DevSecOps의 고려사항 • 고객 중심의 사고 • Scale, scale, scale !!! • 목표 범위 • 자동화를 통한 선제적인 대응 • 피드백을 통한 상시 개선 OPS SEC DEV 코드화된 보안
- 13. 최적화된 변경 관리 AWS Config ü 구성 변경내역의 지속적인 기록 ü 시간 순서 별 변경 내역 추적 ü Archive & Compare 7 변경 관리 최적화 AWS Inspector ü 어플리케이션 환경 스캐닝 ü 빌트인 룰셋 – CVE(취약점), 운영체제, 네트웍, 인증, 어플리케이션 ü 감사 패키지 – PCI-DSS
- 14. 자동화된 보안 8 보안 기능 자동화 Amazon Config Rules ü 회사정책, 모범사례 기준 위배 사항 적발 ü 위배 사항에 대한 자동 조치 ü 필요시, 별도 워크플로 병합 AWS CloudFormation ü 회사 보안 정책의 코드화 ü Config Rules + 람다를 활용하여 정책의 강제 집행
- 15. AWS Config 소개
- 16. AWS Config • AWS 리소스에 대한 인벤토리 관리 • 신규 또는 삭제된 리소스에 대한 인식 • 지속적으로 구성정보 변경기록 • 구성이 변경되면 통지 정규화변경 내역 기록 변경된 리소스 AWS Config 전달 스트림 스냅샷(ex. 2016-05-17) AWS Config APIs 저장 이력
- 17. AWS Config 데모
- 18. Title + Content
- 19. Title + Content
- 20. Title + Content
- 21. Title + Content
- 22. Title + Content
- 23. Title + Content
- 25. 어떤 리소스들이 존재하는지 확인
- 26. 무엇이 변경되었는지 확인
- 27. Configuration Item 리소스의 모든 구성속성들에 대해, 변경될 때 마다, 변경된 구성정보들을 담고 있는 새로운 Configuration item이 생성됨. Component Description 전형적인 예 Metadata 해당 configuration item에 대한 정보 Version ID, Configuration item ID, 수집 시간, State ID(상태 순서), MD5Hash, 등. Common Attributes Resource 속성값 리소스 아이디, 태그, 리소스타입, Amazon Resource Name (ARN), 가용영역 등 Relationships 해당 account 내에 다른 리소스와의 어떤 관계가 있는지를 설명. EBS 볼륨(vol-1234567)이 EC2 인스턴스(i- a1b2c3d4)에 붙어 있음 Current Configuration 해당 리소스의 ‘Describe’, ‘List’ API 콜의 리턴 결과 EBS 볼륨 타입(GP2, PIOPS, Magnetic), 볼륨 구성 상태(DeleteOnTermination flag 등) Related Events 해당 리소스의 현재 구성상태를 발생시킨 작업의 CloudTrail event 정보 AWS CloudTrail event ID
- 28. Configuration Item "configurationItemVersion": "1.0", "configurationItemCaptureTime": "2014…", "configurationStateID": “….", "configurationItemStatus": "OK", "resourceId": "vol-ce676ccc", "arn": "arn:aws:us-west-………", "accountId": "12345678910", "availibilityZone": "us-west-2b", "resourceType": "AWS::EC2::Volume", "resourceCreationTime": "2014-02..", "tags": {}, "relationships": [ { "resourceId": "i-344c463d", "resourceType": "AWS::EC2::Instance", "name": "Attached to Instance" } ], "relatedEvents": [ "06c12a39-eb35-11de-ae07-db69edbb1e4", ], Metadata Common Attributes Relationships Related Events
- 29. Configuration Item "configuration": { "volumeId": "vol-ce676ccc", "size": 1, "snapshotId": "", "availabilityZone": "us-west-2b", "state": "in-use", "createTime": "2014-02-……", "attachments": [ { "volumeId": "vol-ce676ccc", "instanceId": "i-344c463d", "device": "/dev/sdf", "state": "attached", "attachTime": "2014-03-", "deleteOnTermination": false } ], "tags": [ { "tagName": "environment", "tagValue": "PROD" Configuration
- 30. Relationships 자동으로 할당되는 의존 관계의 양방향 맵핑.
- 31. 멀티 리전에서 단일 S3 bucket으로 데이터 취합 "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::xxxxx:admin", "arn:aws:iam::yyyyy:admin", “.....” "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::myBucketName" } "Action": "s3:PutObject", "Resource": [ "arn:aws:s3:::myBucketName/myLogFilePrefix/A WSLogs/xxxx/*", 리전1 리전2 리전3 공통 S3 버킷 SNS 토픽:리전1 SNS 토픽:리전2 SNS 토픽:리전3 공통 SQS 큐
- 32. 기존 CMDB 환경과 연계 어댑터는 JSON형식을 각 CMDB 포맷으로 변환하는 커스텀 모듈 BMC, HP, Custom CMDB 어댑터 어카운트 1 어카운트 2 어카운트 3 공통 S3 버킷 공통 SNS 토픽
- 33. 기존 CMDB 환경과 연계 AWS Config BMC HP API 어댑터어댑터 어댑터는 Config API와 연계하는 커스텀 모듈 어카운트 1 어카운트 2 어카운트 3
- 34. 지원되는 리소스 타입 리소스 타입 리소스 Amazon EC2 EC2 인스턴스, EC2 엘라스틱 IP, EC2 Security Group, EC2 네트웍 인터페이스 Amazon EBS EBS 볼륨 Amazon VPC VPC, 네트웍 ACL, 라우팅 테이블, 서브넷, VPN연결, 인터넷 게이트웨이, 고객 게이트웨이, VPN 게이트웨이 AWS CloudTrail Trail Identity and Access Management IAM 사용자, IAM 그룹, IAM 롤, IAM Customer Managed Policies Amazon EC2 Dedicated Hosts
- 35. AWS Config Rules 소개
- 36. Config Rules • 기록된 구성정보의 검증을 체크하는 룰 • 내부 보안 정책(적발 및 대응 조치)의 코딩화 • Managed Rules – AWS가 정의 및 관리되는 룰 – 최소한의 구성만 필요 • Custom Rules – 고객이 정의 및 관리 – AWS 람다를 사용하여 정의
- 37. Config Rules의 시작 조건 1. 변경작업 발생시, • 범위 지정 필요 • 지정된 태그 정보를 가진 리소스만 • 특정 리소스 또는 타입을 지정 • Config 관리 영역 전체 • 사례: ‘Production’으로 태깅된 EBS 볼륨은 반드시 EC2 instance에 붙어 있어야 함. 2. 주기적으로 실행 • 사례: 매 3시간 마다, 해당 Account가 3 대 이상의 “PCI v3” EC2 instance를 실행하고 있는지 확인.
- 38. AWS Config Rules – Managed Rule 데모
- 50. Custom Rules • 고객사 프랙티스를 자동화 하기 위해 코드로 구현하고 AWS 람다 활용 • Config Rules Git hub 저장소: https://github.com/awslabs/aws-config-rules
- 51. AWS Config Rules – Custom Rule 데모
- 55. 대상 리소스 존재 유무 체크 체크 결과를 Config에 기록 승인된 AMI로 생성되었는지 체크 Event와 규칙조건을 파싱 체크 로직 호출
- 76. 활용하세요!! • AWS Config 문서 • http://aws.amazon.com/documentation/config/ • Config Rules Repository • https://github.com/awslabs/aws-config-rules • 사용중 문의는 AWS Config forum 활용 • https://forums.aws.amazon.com/forum.jspa?forumID=184
- 77. 마치면서… OPS SEC DEV 코드화된 보안 Amazon Config, Config Rules 민첩한 보안
- 78. 감사합니다.
- 79. 여러분의 피드백을 기다립니다! https://www.awssummit.co.kr 모바일 페이지에 접속하셔서, 지금 세션 평가에 참여하시면, 행사 후 기념품을 드립니다. #AWSSummit 해시태그로 소셜 미디어에 여러분의 행사 소감을 올려주세요. 발표 자료 및 녹화 동영상은 AWS Korea 공식 소셜 채널로 곧 공유될 예정입니다.