AWS CLOUD 2018- 인공지능 보안 위협 감지 서비스 Amazon GuardDuty를 포함한 AWS 보안 신규 기능 업데이트 (임기성 솔루션즈 아키텍트)
2 likes3,097 views
AWS CLOUD 2018- 인공지능 보안 위협 감지 서비스 Amazon GuardDuty를 포함한 AWS 보안 신규 기능 업데이트 (임기성 솔루션즈 아키텍트)
- 1. 인공지능 보안 위협 감지 서비스 Amazon GuardDuty를 포함한 AWS 보안 신규 기능 업데이트 임 기 성 / AWS 보안 솔루션즈 아키텍트
- 2. 목차 1. AWS Security Services 2. Amazon GuardDuty 소개 3. Amazon GuardDuty screenshot Demo 4. AWS WAF Manager Rulesets 소개 5. AWS Single Sign-On 소개
- 3. AWS Security Services Virtual Private Cloud 가상 사설 네트워크 Web Application F/W 악성 웹 트래픽 필터링 Shield 디도스 방어 Certificate Manager SSL/TSL 인증서 발급 및 관리 네트웍 보안 IAM 사용자 접근관리 및 키 암호화 SAML Federation 온프레미스 사용자 저 장소와 SAML 2.0연계 Directory Service MS Active Directory에 대한 관리형 서비스 Organizations 복수개의 어카운트에 대한 중앙 관리 계정 및 권한 관리 Service Catalog 표준 카탈로그 생성 관 리 Config 리소스 인벤토리 변경 추적 CloudTrail 사용자 및 API 사용 추 적 CloudWatch 리소스 및 어플리케이 션 모니터링 Inspector 어플리케이션 취약점 분석 Artifact AWS컴플라이언스 리 포트 셀프서비스 컴플라이언스 싱글 사인 온 완성형 룰셋 위협 탐지 Key Management Ser vice 암호화 키 생성 관리 CloudHSM 하드웨어 기반 키 저장 소 Server-Side Encryption 유연한 데이터 암호화 옵 션 데이터 보안 Amazon Macie 지능형 데이터 유출 방지
- 5. 보안 이슈 발생시, 취하는 대응 방안들 Source: 2017 Forbes Insights – “Enterprises Reengineer Security in the Age of Digital Transformation” Amazon GuardDuty 는 취약점 발 견과 경감 조치, 위협 탐지와 예방 측면에서 보안 인력들이 취할 수 있는 대응방식을 강화시켜줍니다. 취약점 조사 및 경감 조치 범위 확대 직원 보안 교육 강화 바이러스/멀웨어 탐지, IDS/IPS 탐지 규칙 업데이트 제로데이 공격 방 어를 위해 더 많은 리소스 투입
- 6. 건초더미에서 바늘 찾기 GuardDuty는 보안 인력들이 방대한 양의 로그 데이터 속에서 신속하게 위협을 탐지할 수 있도록 도와줍니다. 이를 통해, AWS환경에 대한 악의적이거나 의심스러운 행동들에 대해 신 속하게 대응하고 보안을 향상시킬 수 있게 해줍니다. Amazon GuardDuty: All Signal, No Noise
- 7. GuardDuty 위협 탐지 서비스 탐지 통보 대응 정찰 인스턴스 침해 계정 침해 Amazon GuardDuty VPC flow logs DNS Logs CloudTrail Events HIGH MEDIUM LOW FindingsData Sources위협 탐지 유형들
- 8. Amazon GuardDuty: 특장점 • 관리형 위협 탐지 서비스 • 아키텍쳐 변경이나 성능 저하 없이 손쉽게 원클릭 활성화 • No Agents, no Sensors, no Network Appliances • AWS 어카운트 및 리소스에 대한 상시 모니터링 • EC2 및 IAM에 관련된 위협 발견 • 글로벌 커버리지, 리젼 기반 적용 • 머신러닝 기반 이상 행동 탐지 기능 탑재 • 추가적인 보호 기능을 위한 파트너 연계 • 간단하고 효과적인 가격 체계
- 9. 현재 14개 리전 지원! • US East (N. Virginia) • US East (Ohio) • US West (N. California) • US West (Oregon) • EU (Ireland) • EU (Frankfur t) • EU (London) • Canada (Central) • Asia Pacific (Singapore) • Asia Pacific (Sydney) • Asia Pacific (Seoul) • Asia Pacific (Tokyo) • Asia Pacific (Mumbai) • South America (Sao Paulo)
- 10. GuardDuty 멀티 어카운트 지원 어카운트2 어카운트100 보안팀 어카운트 어카운트1 CW Events 마스터 어카운트 모든 멤버 어카운트들에 대해: • 샘플 탐지 내역 생성 • 탐지내역 조회 및 관리 • GuardDuty 서비스 중지 • 신뢰 IP 및 위협 IP 목록 업로드 (* 멤버 계정에 대한 GuardDuty 비활성화는 불가능. 멤버쉽을 풀고, 개별로 비활 성화 처리.) • 각 멤버 어카운트들은 개별로도 스스로 관리설정. • 비용구조는 개별 정산 혹은 기존 통합빌링 구조를 따름. • 멤버 어카운트의 추가는 콘솔 혹은 API를 활용. • 멤버쉽 초청을 보낸 어카운트가 Master 어카운트가 되고, 승인하면 멤버로 조인됨. 100 (max) …
- 11. GuardDuty 위협 탐지 유형들 정찰 인스턴스 침해 어카운트 침해 인스턴스 대사과정: • Port Probe/Accepted Comm • Port Scan (intra-VPC) • Brute Force Attack (IP) • Drop Point (IP) • Tor Communications 어카운트 대사과정: • Tor API Call (failed) • C&C Activity • Malicious Domain Request • EC2 on Threat List • Drop Point IP • Malicious Comms (ASIS) • Bitcoin Mining • Outbound DDoS • Spambot Activity • Outbound SSH Brute Force • Unusual Network Port • Unusual Traffic Volume/Direction • Unusual DNS Requests • Domain Generated Algorithms • Malicious API Call (bad IP) • Tor API Call (accepted) • CloudTrail Disabled • Password Policy Change • Instance Launch Unusual • Region Activity Unusual • Suspicious Console Login • Unusual ISP Caller • Mutating API Calls (create, update, delete) • High Volume of Describe calls • Unusual IAM User Added 시그니쳐 기반 상태 비유지 탐지 내역 상태유지 행위 기반 탐지 및 비정상 행동 분석
- 12. 지속적인 탐지 케이스 향상 re:Invent2017 년
- 13. GuardDuty 지원 데이터 소스 VPC Flow Logs VPC flow logs • VPC Flow Logs 분석. Flow Logs에 대 한 별도의 활성화 작업은 필요 없음. 로그데이터에 대한 수집은 독립적인 복제 스트림을 통해 수행됨. • 별도 SIEM 분석환경이 있는 경우, 기 존 대로 VPC Flow Logs를 활성화하 여 이용할 것을 권장. DNS Logs DNS Logs • EC2인스턴스가 알려진 타겟 도메인으 로 접근했던 DNS 로그 분석. • Route 53 query log를 포함한 DNS 로 그 정보. DNS 기반 분석을 위해 Route 53이 반드시 필요한 것은 아님. CloudTrail Events CloudTrail Events • 관리 콘솔, SDK, CLI등을 통해 발생된 AWS API호출을 기록한 CloudTrail hist ory 분석. • API호출에 이용된 소스 IP주소를 포함 해서 사용자와 어카운트에 대한 식별.
- 14. 목록: 신뢰 및 위협 IP 목록 GuardDuty는 다음 지능형 피드 정보를 활용하고 있습니다. : • CrowdStrike • Proofpoint 커스텀 신뢰IP 목록과 알려진 위협 목록을 통해 Finding의 기능을 확장할 수 있습니다. • 해당 인프라 혹은 어플리케이션과의 안전한 통신을 할 수 있는 신뢰된 IP목록을 탐지 예외처리(Whitelisting, 오탐 방지). • 알려진 악성 IP주소들에 대한 위협 목록. GuardDuty는 위협 목록을 기반으로 finding을 생성. Hard Limits: 어카운트 당 1개의 신뢰 목록 과 6개의 위협 목록까지 관리 가능 신뢰 IP 목록 고객 및 파트너 제공 알려진 위협 목록+
- 15. GuardDuty 탐지 내역: Console / API AWS 관리 콘솔 API / JSON 포맷 위협정보의 신속한 확인: • 심각도 • 리전 • 횟수/빈도 • 위협 유형 • 대상 리소스 • 소스 정보 • Viewable via CloudWatch Events 추가 분석을 위해 Finding Data를 Export: • SIEM환경으로 전달 • 대응 방식을 코딩으로 자동화 • 추가 정보 • ARN • Span of Time • Resource Info • 기본적으로 탐지 결과는 90일 동안만 보존 (S3 푸쉬 권장)
- 16. GuardDuty 탐지 내역: Severity Levels LOW MEDIUM HIGH • 의심스럽거나 악의적인 행 위가 리소스를 탈취하기 전 에 차단됨. • Severity : 0.1 ~ 3.9 범위 • 평상시 행동 패턴과 다른 의 심스러운 행위 탐지. • Severity : 4.0 ~ 6.9 • 리소스가 이미 탈취되어 허 락되지 않은 행동을 수행하 고 있음. • Severity : 7.0 ~ 10.0 대처방안: 즉각적인 대처 필요 • 인스턴스 터미네이트 • IAM access key 교체 대처 방안: 추가 조사 필요 • 리소스의 행위를 변화시킨 신규 설치 소프트웨어가 있는지 확인 • 설정 내역의 변경 확인 • 리소스에 대한 AV 스캐닝 수행 (허락되지 않은 소프트웨어 탐지) • IAM 주체에 부여된 권한 확인 대처 방안: • 즉각 대응할 필요는 없음. 향후 정보 차원의 활용 용도
- 17. 탐지 내역 처리: 자동화 • 탈취된 인스턴스에 대한 처리 • 유출된 AWS 자격증명에 대한 처리 자동 대응 GuardDuty CloudWatch Events Lambda Amazon GuardDuty Amazon CloudWatch CloudWatch Event Lambda Function AWS Lambda • Lambda Function 이용: • 현재 Security Group에서 제외하고 양 방향 통신을 차단 • EBS volume(s)에 대한 스냅샷 • 보안팀에 경보
- 18. GuardDuty 가격 체계* Free Trial: Any new account to Amazon GuardDuty can try the service for 30-days at no cost. Provides access to the full feature set and detections during the free trial. GuardDuty will display the volume of logs processed and estimated daily average service charges to provide a tailored price estimate for GuardDuty t o protect all AWS accounts. N. Virginia Ohio Oregon Mumbai Ireland London N. California Canada Central Frankfurt Seoul Singapore Sydney Tokyo Sao Paulo VPC Flow Log and DNS Log Analysis (GB당) First 500 GB / month $1.00 $1.10 $1.15 $1.18 $1.75 Next 2000 GB / month $0.50 $0.55 $0.58 $0.59 $0.88 Over 2500 GB / month $0.25 $0.28 $0.29 $0.29 $0.44 AWS CloudTrail Event Analysis Per 1,000,000 events / month $4.00 $4.40 $4.60 $4.72 $7.00
- 20. GuardDuty 파트너 Find All GuardDuty Partners At: aws.amazon.com/guardduty/partners
- 21. Frequently Asked Questions Q: 내 계정에서 Amazon GuardDuty를 활성화하면 성능이나 가용성에 영향을 미치게 됩니까? 아니요. Amazon GuardDuty는 고객의 AWS 리소스와 완전히 독립적으로 운영되며, 계정이나 워크로드에 영 향을 줄 위험이 전혀 없습니다. 따라서 기존 운영에 영향을 주지 않고 조직 내 여러 계정에 걸쳐 GuardDuty를 손쉽게 활성화할 수 있습니다. Q: Amazon GuardDuty에서 작업을 하려면 AWS CloudTrail, VPC 흐름 로그 및 DNS 로그를 활성화해야 합 니까? 아니요. Amazon GuardDuty에서는 AWS CloudTrail, VPC 흐름 로그 및 DNS 로그에서 직접 독립적인 데이터 스트림을 끌어옵니다. Amazon S3 버킷 정책을 관리하거나 로그를 수집 및 저장하는 방법을 수정할 필요가 없 고, GuardDuty 서비스의 운영이 AWS IAM 권한 변경 또는 S3 버킷 정책 변경의 영향을 받을 위험이 없습니다. 따라서 복잡한 구성 없이 손쉽게 서비스를 활성화할 수 있습니다. Q: Amazon GuardDuty에서 내 로그를 관리하거나 유지합니까? 아니요. Amazon GuardDuty는 로그를 관리하거나 유지하지 않습니다. GuardDuty에서 소비하는 모든 데이터 는 거의 실시간으로 분석된 후 폐기됩니다. https://aws.amazon.com/ko/guardduty/faqs/?nc1=h_ls
- 23. GuardDuty Demo • 시나리오 #1 Compromised 에서 Malicious로 PING 접근 • 시나리오 #2 Compromised 에서 Malicious로 스캐닝
- 24. GuardDuty Demo
- 25. GuardDuty Demo
- 26. GuardDuty Demo
- 27. GuardDuty Demo
- 28. GuardDuty Demo
- 29. GuardDuty Demo • 시나리오 #1 공격자 (C&C서버) Bot 감염 서버 통신 시도
- 30. GuardDuty Demo 공격자 타겟 서버 • 시나리오 #2 스캐닝
- 31. GuardDuty Demo
- 32. GuardDuty Demo
- 35. GuardDuty Demo
- 36. GuardDuty Demo
- 39. AWS WAF가 제공하는 장점 신속한 침해사고 대응 강력하고 유연한 규칙설정 저렴한 가격자동화된 대응 룰 템플릿 쉬운 적용
- 40. 파트너 제공 룰셋을 AWS WAF에서 적용 5개의 선별된 보안 벤더들이 제 공하는 AWS WAF상에서 구동 되는 관리형 규칙셋! • AWS의 신뢰할 수 있는 공급자들이 작성 하고 관리하는 규칙 셋 • AWS WAF 상에 적용 • WAF 요금 + 벤더 별 별도 비용 추가
- 41. 11 Managed Rules for AWS WAF https://aws.amazon.com/mp/security/WAFManagedRules/ • Alert Logic's Managed Rules for AWS WAF Virtual Patches for WordPress • Fortinet Managed Rules for AWS WAF - Malicious Bots • Fortinet Managed Rules for AWS WAF - SQLi/XSS • Fortinet Managed Rules for AWS WAF - General and Known Exploits • Fortinet Managed Rules for AWS WAF - Complete OWASP Top 10 • Imperva - Managed Rules for Wordpress Protection on AWS WAF • Imperva - Managed Rules for IP Reputation on AWS WAF • Trend Micro Managed Rules for AWS WAF - WebServer (Apache, Nginx) • Trend Micro Managed Rules for AWS WAF - Content Management System (CMS) • Trustwave Managed Rules for AWS WAF - ModSecurity Virtual Patching • Trustwave Managed Rules for AWS WAF - CMS Virtual Patches
- 43. AWS Single Sign-On (SSO) 소개 AWS 콘솔및 비지니스 어플리케이션에 대한 싱글 사인 온을 중앙 집중 관리하는 Cloud 기반 Single Sign-On (SSO) 서비스 복수개의 AWS Account를 이용한 AWS 콘솔 접근을 중앙관리 쉽게 적용기 운영중인 사용자 정보 저장소 활용 기타 비지니스 어플리케이션에 대한 SSO 접근 관리
- 44. 아키텍쳐: AWS Accounts 멤버 어카운트 #1 멤버 어카운트 #N AWS OrganizationsAWS Single Sign-OnAWS Directory Service AWS SSO user portal 구성/설정 할당 Entitlements 접근 사용자 그룹 AD 온프레미스 마스터 어카운트 디렉토리 연결 (Trust Relation)
- 45. AWS Single Sign-On User Portal
- 46. SAML 지원 앱 연동
- 47. AWS 디렉토리 서비스와 통합 옵션1: AWS 관리형 Microsoft AD를 통한 Trust 설정 옵션3: 독립적으로 AWS 관리형 Microsoft AD 사용 옵션2: AD Connector 이용 디렉토리 서비스AD AWS 관리형 Microsoft AD LDAP, Kerberos, Referrals Trust 사용자 및 그룹 디렉터리 서비스 AD AD ConnectorService Account LDAP & Kerberos사용자 및 그룹 디렉토리 서비스 AWS 관리형 Microsoft AD 사용자 및 그룹
- 48. 가격 및 지원 리전 • AWS SSO 는 무료 이용 • 현재 N. Virginia (us-east-1) 에서 이용 가능. • 참조: regional service availability(https://aws.amazon.com/about- aws/global-infrastructure/regional-product-services/)
- 49. 체크 포인트 Virtual Private Cloud 가상 사설 네트워크 Web Application F/W 악성 웹 트래픽 필터링 Shield 디도스 방어 Certificate Manager SSL/TSL 인증서 발급 및 관리 네트웍 보안 IAM 사용자 접근관리 및 키 암호화 SAML Federation 온프레미스 사용자 저 장소와 SAML 2.0연계 Directory Service MS Active Directory에 대한 관리형 서비스 Organizations 복수개의 어카운트에 대한 중앙 관리 계정 및 권한 관리 Service Catalog 표준 카탈로그 생성 관 리 Config 리소스 인벤토리 변경 추적 CloudTrail 사용자 및 API 사용 추 적 CloudWatch 리소스 및 어플리케이 션 모니터링 Inspector 어플리케이션 취약점 분석 Artifact AWS컴플라이언스 리 포트 셀프서비스 컴플라이언스 Key Management Ser vice 암호화 키 생성 관리 CloudHSM 하드웨어 기반 키 저장 소 Server-Side Encryption 유연한 데이터 암호화 옵 션 데이터 보안 Amazon Macie 지능형 데이터 유출 방지 Amazon GuardDuty 지능형 위협탐지 WAF Managed Rule Sets WAF 파트너 룰셋 AWS SSO 콘솔 및 앱에 대한 SSO 및 권한 관리 NEW! NEW! NEW!
- 50. 감사합니다