AWS 네트워크 보안을 위한 계층별 보안 구성 모범 사례 – 조이정, AWS 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집
1 like1,795 views
* 발표 동영상: https://youtu.be/r84IuPv_4TI AWS 서비스 환경을 대상으로 하는 각종 보안 위협에 대응하기 위해 인터넷에서 유입되는 트래픽에 대한 안전한 보호와 VPC 내부에서 발생할 수 있는 다양한 네트워크 트래픽을 보다 효율적이고 안전하게 보호할 수 있는 네트워크 보안 구성 방안과 모범 사례에 대해 소개합니다.
AWS 네트워크 보안을 위한 계층별 보안 구성 모범 사례 – 조이정, AWS 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집
- 1. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. Network Security on AWS 조이정 Solutions Architect Amazon Web Services AWS온라인이벤트–클라우드보안특집
- 2. 강연 중 질문하는 방법 오른쪽의 “Questions/질문” 창에 질문을 남겨주세요. 본인만 답변을 받고 싶으신 경우, (비공개)라고 하고 질문해 주시면 됩니다. 본 컨텐츠는 고객의 편의를 위해 AWS 서비스 설명을 위해 온라인 세미나용으로 별도로 제작, 제공된 것입니다. 만약 AWS 사이트와 컨텐츠 상에서 차이나 불일치가 있을 경우, AWS 사이트(aws.amazon.com)가 우선합니다. 또한 AWS 사이트 상에서 한글 번역문과 영어 원문에 차이나 불일치가 있을 경우(번역의 지체로 인한 경우 등 포함), 영어 원문이 우선합니다. AWS는 본 컨텐츠에 포함되거나 컨텐츠를 통하여 고객에게 제공된 일체의 정보, 콘텐츠, 자료, 제품(소프트웨어 포함) 또는 서비스를 이용함으로 인하여 발생하는 여하한 종류의 손해에 대하여 어떠한 책임도 지지 아니하며, 이는 직접 손해, 간접 손해, 부수적 손해, 징벌적 손해 및 결과적 손해를 포함하되 이에 한정되지 아니합니다. 고지 사항(Disclaimer)
- 3. Agenda • AWS 네트워크 보안 개요 • 서비스 & 모범 사례 : • 네트워크 격리 및 접근 제어 - Amazon VPC • 어플리케이션 위협 보호 - AWS WAF • DDoS 방어 - AWS Shield • 네트워크 방화벽 - AWS Network Firewall
- 4. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
- 5. Basic Application Architecture on AWS EC2 Instance S3 Bucket Default VPC ALB
- 6. 악의적인 행위자는 언제나 약한 부분 (weak point)을 찾습니다.
- 7. 어떤 공격이 있을까 ? Hardware hacking, physical access attacks, sniffing Mac spoofing, sniffing IP attacks, Port scanning, DDoS, Flag manipulation Session hijacking, SYN attacks Protocol attack Sql injection, exploit code, malware
- 8. 네트워크 보호를 위한 5개 레이어 확장성이 뛰어나고 안전하며 편하게 모니터링할 수 있는 DDoS 보호 애플리케이션을 구축하겠다.Objective: 네트워크 격리 네트워크 접근 제어 네트워크 방화벽 어플리케이션 위협 보호 DDoS 방어 AWS Marketplace
- 9. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
- 10. 네트워크 보호의 시작 - VPC (Virtual Private Cloud) AvailabilityZoneA AvailabilityZoneB ELB ELB Instances Instances AWS Cloud VPC (10.0.0.0/16) Public subnet Public subnet Private subnet Private subnet
- 11. 보안 그룹 (Security Group) DB 보안 그룹 Inbound Rules : TCP/3306, Source: Web 보안 그룹 ssh/22 Http:80 Blocked Web 보안 그룹 Inbound Rules : TCP/80 Source: ELB 보안그룹 인스턴스 단위 상태 저장 (stateful) 동적 구성 최소 권한 원칙 VPC ELB 보안 그룹 Inbound Rules : TCP/80 Source: 0.0.0.0/0
- 12. 네트워크 접근 제어 리스트 (NACL) VPC Subnet 1 VPC Subnet 3 10.0.0.0/24 10.0.1.0/24 VPC Subnet 2 VPC Subnet 4 10.0.2.0/24 10.0.3.0/24 서브넷 단위 상태 비저장 (stateless) 최소권한원칙 VPC
- 13. 보안 계층 on VPC VPC Subnet 1 Security Group SG Subnet 2 Network ACL Network ACL SG Routing TableRouting Table Virtual Private GatewayInternet Gateway Instance level lockdown Isolate network functions Network level lockdown Route restrictively
- 14. VPC Endpoints Instance BNAT-GW0.0.0.0/0 AWS Region Private subnet Internet Public subnet Amazon S3 IGW VPCE(s) 10.1.0.0/16 Local 0.0.0.0/0 IGW Destination Target 10.1.0.0/16 Local S3.prefix.list VPCE-123 Destination Target AWS Glue ENI
- 15. Traffic Monitoring vs. VPC Flow Logs VPC Traffic Mirroring - Real network packets with the ability to truncate - Destination: Another elastic network interface or Network Load Balancer - Logs of network flows - Each record captures the network flow for a specific 5-tuple, for a specific capture window - Destination: Amazon S3 or Amazon CloudWatch Logs - Real network packets AWS account Source IP Destination IP Source port Destination port Interface Protocol Packets Bytes Start/end time Accept or reject EC2 instance Inbound packets Outbound packets Monitoring instance ENI-1 ENI-1 IGW VPC
- 16. Application Architecture on AWS EC2 Instance S3 Bucket Public Subnet Private Subnet ALB
- 17. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
- 18. 웹 기반 공격 <Web App 공격 트랜드 (2019) > 출처 : https://www.cbronline.com/news/sql-injection-attacks
- 19. AWS WAF를 선택하는 이유
- 20. AWS WAF - WEB/WAS www.example.com CloudFront 사용자 Safe Traffic Edge Location Edge Location WAF WAF 해커 악성 봇 적법 접근 SQLi, XSS, .. WAF ELB ALB 사용자 적법 접근 VPC WEB/WAS
- 21. AWS WAF - Web ACLs : o AWS resource 지정 (CloudFront / ALB / API GW) o 규칙을 추가하여 보호 전략을 정의 o Amazon managed rule o Custom rule o Web ACL에 대한 기본 작업 지정 (차단/허용) o 규칙 우선순위 설정 o CloudWatch metric 지정 Rule groups: o JSON 포멧의 룰 o Visual editor o JSON editor o 재사용 가능한 custom 규칙 저장 o 리전 특정 o 규칙 우선순위 설정 AWS WAF Console IP sets: o 규칙 문에 사용되는 IP 주소 및 IP 주소 범위 Regex pattern sets: o 규칙 문에 사용되는 정규 표현식 모음 ** Web ACL 혹은 Rule group에서 사용됨 Web ACL 생성 보호할 서비스 연결 규칙 정의
- 22. AWS MarketplaceCustom RuleAmazon managed Rule
- 23. Category Ruleset Description WCU consumed CRS Core Ruleset OWASP Top 10 및 CVE 700 CRS Admin Protection 외부에 노출된 어드민 페이지에 대한 엑세스 차단 100 CRS Known Bad Inputs 알려진 취약성 악용 요청 차단 200 EXR SQL DB SQL 데이터베이스 악용과 관련된 요청 패턴 차단 200 EXR Linux operating system LFI(로컬 파일 포함) 공격을 포함, Linux 특정한 취약성 악용과 관련된 요청 패턴 차단 200 EXR POSIX operating system LFI(로컬 파일 포함) 공격을 포함, POSIX 및 POSIX 유사 운영 체제에 특정한 취약성 악용과 관련된 요청 패턴 차단 100 EXR Windows operating system PowerShell 명령의 원격 실행과 같이 Windows에 특정한 취약성 악용과 관련된 요청 차단 200 EXR PHP application 안전하지 않은 PHP 함수 삽입 차단 100 EXR WordPress application WordPress 관련된 취약성 악용과 관련된 요청 패턴 차단 100 IP List Amazon.com IP Reputation List Amazon 내부 위협 인텔리전스를 기반으로 봇과 같은 위협 차단 25 IP List Anonymous IP list 뷰어 ID의 난독화를 허용하는 서비스 요청을 차단 (VPN, 프록시, Tor 노드 및 호스팅 공급자의 요청 등) 50 AWS 관리형 규칙 목록
- 24. Custom 규칙 일치 조건(한글) 설명 지역 일치 요청의 출처 국가를 검사 IP 집합 일치 요청 출처를 IP주소 및 주소 범위 집합과 비교 정규식 패턴 집합 정규식 패턴을 지정된 요청 구성 요소와 비교 크기 제약 조건 지정된 요청 구성 요소에 대해 크기 제약 조건을 검사 SQL 주입 공격 지정된 요청 구성 요소에서 악성 SQL 코드를 검사 문자열 일치 문자열을 지정된 요청 구성 요소와 비교 XSS 공격 지정된 요청 구성 요소에서 사이트 간 스크립팅 공격을 검사 일치 조건 논리적 규칙문 논리적 문 설명 중첩 가능 여부 AND 로직 중첩된 문을 AND 로직과 결합 예 NOT 로직 중첩된 문의 결과를 무효화 예 OR 로직 중첩된 문을 OR 로직과 결합 예 요청 구성 요소 헤더 HTTP 메서드 쿼리 문자열 단일 쿼리 파라미터 모든 쿼리 파라미터 URI 본문 (Body) 검사 요소 허용 (Allow) 차단 (Deny) 계수 (Count) 규칙 작업 소문자 변환 HTML 디코딩 공백 표준화 명령줄 간소화 URL 디코딩 텍스트 변환 Regular 비율 기반 규칙 타입
- 25. Request Web Access Control List (Web ACL) Managed Rule Group Single-digit millisecond latency Amazon CloudFront Application Load Balancer Amazon API Gateway Amazon CloudWatch Users Rule 1 Rule 2 Rule Z … Order (Priority) IP set Action Associated AWS resources Logging and Metrics Rules Default Action Allow or Deny Actions: • Accept • Deny • Count Rule Action Rule • Core ruleset • Known bad input • SQL DB • Linux • …. Custom Rule Group Rule 1 Rule 2 Rule Z …… Rule • GeoMatch • Regex pattern • String match • SQLi • Size match • Xss
- 26. CloudWatch Metrics • 모든 규칙에 대한 메트릭 제공 • Allowed | Blocked | Counted | Passed Sampled Web Requests • Detailed logs, of a Sample of requests • Automatically available for every Rule Full Logs • Detailed logs, of Every request this word just for spacing • Optionally enabled for your WebACL Use Case 알람 설정 Use Case Quickly test AWS WAF Rules Easy triaging on the console Use Case Security analytics, monitoring, automation, auditing, and compliance
- 27. https://aws.amazon.com/ko/solutions/implementations/aws-waf-security-automations/ AWS Managed Rules(A) 수동 IP 목록(B 및 C) SQL 주입(D) 및 XSS(E) HTTP 플러드(F) 스캐너 및 프로브(G) IP 평판 목록(H) 악성 봇(I)
- 28. AWS WAF를 선택하는 이유 AWS 서비스들과의 seamless 한 통합 쉬운 구성 Amazon 관리형 규칙 Custom 규칙 AWS 마켓플레이스 Cloudwatch Sampled request Full Log WAF Automation AWS Firewall manager
- 29. Application Architecture on AWS EC2 Instance S3 Bucket Public Subnet Private Subnet ALB WAF
- 30. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
- 31. DDoS (분산 서비스 거부 공격) Attacker Target Masters Bots 악성 코드에 감염된 컴퓨터, 라우터, IoT 장치 및 기타 엔드 포인트의 분산된 그룹으로 이루어진 여러 소스를 사용하여 대상을 압도하는 패킷 또는 요청을 생성하는 공격
- 32. DDoS 공격 패턴 SYN/ACK Flood | UDP Flood | ReflectionTransport Ping of Death | ICMP Flood | TeardropNetwork Data Link Physical Operated & Protected by AWS Presentation Application Session HTTP Flood, App exploits, SQL Injection, Bots, Crawlers, SSL Abuse, Malformed SSL
- 33. DDoS 사이즈 트랜드 0 200 400 600 800 1000 1200 1400 1600 1800 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 Largest DDoS Attacks (Gbps) Memcached attacks Mirai attacks
- 34. DDoS를 대응하는 자세 공격지점을 최소화 공격을 흡수할 수 있는 확장성을 구현 AWS 관리형 서비스들을 앞 단에 배치 정상 상태에 대한 기준을 확립 노출된 리소스에 대한 대책을 수립 공격에 대응하기 위한 계획을 수립
- 35. Private subnetPublic subnet DDoS Resilient 참조 아키텍처 – 공격 지점 최소화 Amazon Route 53 EC2 ALB Amazon CloudFront AWS WAF Amazon API Gateway DDoS Attack Users AWS Cloud VPC Web Application Security GroupALB Security Group BP1 BP4 BP5 Auto Scaling group
- 36. Private subnetPublic subnet DDoS Resilient 참조 아키텍처 – 인프라 레이어 Amazon Route 53 EC2 ALB Amazon CloudFront AWS WAF Amazon API Gateway DDoS Attack Users AWS Cloud VPC Web Application Security GroupALB Security Group BP1 BP3 BP6 Auto Scaling group BP7
- 37. Private subnetPublic subnet DDoS Resilient 참조 아키텍처 – 어플리케이션 레이어 Amazon Route 53 EC2 ALB Amazon CloudFront AWS WAF Amazon API Gateway DDoS Attack Users AWS Cloud VPC Web Application Security GroupALB Security Group BP1BP2 Auto Scaling group
- 38. 기준, 계획, 대응 • CloudWatch를 통해 정상 사용 수준에 대한 이해와 측정 • 수립한 아키텍쳐에 대한 복원력 검증 • 공격 수용시 서비스 확장의 규모 및 비용에 대한 부분 고려 • 공격 받을 경우 비상 연락망 • 지능적이고 즉각적인 대응 예 : WAF 규칙 자동 업데이트
- 39. AWS Shield 관리형 DDoS 보호 서비스
- 40. Shield Standard Shield Advanced 별도 비용 없이 모든 AWS 고객들이 이미 사용 중! 대규모 혹은 복잡한 공격으로부터 서비스를 보호하는 유료 서비스 CloudFront EIPRoute53 ELB Global Accelerator
- 41. AWS Shield Advanced DDoS Response Team (DRT) 의 24x7 지원 AWS WAF 및 Firewall Manager 기본(무료)제공 DDoS Visibility 제공 CloudWatch 메트릭 공격 진단 리포트 글로벌 위협 환경 대시보드 공격 수용에 따른 AWS자원 사용비용 경감 관리형 Anti-DDoS 서비스
- 42. EC2 Instance S3 Bucket Public Subnet Private Subnet Shield Shield Advanced ALB CloudFront WAF Application Architecture on AWS
- 43. © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
- 44. AWS Network Firewall VPC 를 위한 managed 형 네트워크 방화벽 및 침입 방지/탐지 서비스 VPC
- 45. AWS Network Firewall 의 특징
- 46. AWS Network Firewall 의 차이점 • IP / 포트 / 프로토콜 기반 정책 • 인스턴스/서브넷 기반 엑세스 제어 • 웹 앱을 위한 방화벽 • 인터넷 > 어플리케이션 트래픽에 적용 • ENI 수준에서 작동, 타입 제한 • Out of band 구성에 비동기 • 추가적인 보안 제어 • VPC내 모든 흐름을 검사 • Layer 3 ~ Layer 7 에 상호보완적 • Internal threat 에도 활용 가능 • VPC내 모든 흐름을 검사 • 인라인 및 동기식 동작
- 47. AWS Network Firewall Service Rule group 생성 Firewall policy 생성 Firewall 생성 라우팅 테이블 편집
- 48. AWS Network Firewall Firewall subnet Customer subnet Stateless engine Stateful engine x Drop x Drop Pass Forward to stateful x Drop x Drop
- 49. EC2 Instance S3 Bucket Public Subnet Private Subnet Shield Shield Advanced ALB CloudFront WAF Application Architecture on AWS Network Firewall
- 50. AWS Identity & Access Management (IAM) AWS Single Sign-On AWS Organizations AWS Directory Service Amazon Cognito AWS Resource Access Manager AWS Security Hub Amazon GuardDuty Amazon Inspector Amazon CloudWatch AWS Config AWS CloudTrail VPC Flow Logs AWS Firewall Manager AWS Shield AWS WAF – Web application firewall Amazon Virtual Private Cloud (VPC) AWS Network Firewall Service AWS Systems Manager Amazon Macie AWS Key Management Service (KMS) AWS CloudHSM AWS Certificate Manager AWS Secrets Manager AWS VPN Server-Side Encryption Amazon Detective CloudEndure DR AWS Config Rules AWS Lambda Identity & access management Detection Infrastructure protection Incident response Data protection AWS security, identity, and compliance solutions
- 51. AWS 온라인 이벤트 – 클라우드 보안 특집에 참석해주셔서 대단히 감사합니다. 저희가 준비한 내용, 어떻게 보셨나요? 더 나은 세미나를 위하여 설문을 꼭 작성해 주시기 바랍니다. aws-korea-marketing@amazon.com twitter.com/AWSKorea facebook.com/amazonwebservices.ko youtube.com/user/AWSKorea slideshare.net/awskorea twitch.tv/aws
- 52. Thank you! © 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved. 조이정 SA yijeong@amazon.com