aws 고급 보안 서비스를 통한 민첩한 보안 운영 전략 :: 임기성 :: aws summit...
TRANSCRIPT
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
임기성 | 솔루션즈 아키텍트
2016 년 5월 17일
AWS 고급 보안 서비스를 통한
민첩한 보안 운영 전략
목차
• AWS 보안에 대한 이해• AWS Config 소개• AWS Config Rules 소개
AWS 보안에 대한 이해
일반적인 AWS 보안 적용 절차
1
AWS보안에
대한 이해
2
규제 준수사항 확인
3
IAM 연계
4
탐지 기능적용
5
네트웍보안 설정
6
데이터보안 적용
7
변경 관리최적화
8
보안 기능자동화
AWS 보안은 책임 공유모델입니다. 1
AWS보안에
대한 이해
AWS 기반 서비스
컴퓨트 스토리지 데이터베이스 네트워킹
AWS 글로벌 인프라
리젼
가용 영역엣지 로케이션
네트웍 보안 IT 자산관리
고객 어플리케이션과 컨텐츠
고객
데이터 보안 접근 통제
AWS는 클라우드자체의보안/통제를담당합니다.
고객은AWS상의고객환경에대한보안/통제를담당합니다.
AWS Assurance Programs 2
규제 준수사항 확인
AWS의 인프라는 이미 다양한 인증을획득하고 있습니다.• SOC 1 (SSAE 16 & ISAE 3402) Type II
• SOC 2 Type II, SOC 3 리포트
• ISO 27001, 9001, 27017, 27018
• PCI DSS Level 1
• FedRAMP, HIPAA 등
AWSInspectorRulepackage
AWSProfessionalService
AWSPartnersAWS는 고객의 규제요건을 준수하는데도움이 될 수 있는다양한 선택지를제공합니다.C
usto
mer
s
사용자 인증 및 권한 관리 3
IAM 연계
ü SMS 기반 MFAü 폴리쉬 시뮬레이터ü Console Search
ü 리눅스 도메인 조인ü Microsoft Active Directory
AWS IAM AWS Directory service
로깅 및 모니터링 4
탐지 기능적용
AWSCloudTrail
Amazon CloudWatch
ü 모든 리전에 대한 일괄활성화
ü 무결성 & 암호화ü Archive & Forward
ü Amazon CloudWatch Logsü 메트릭 & 필터ü 경보 & 통지
네트웍 보안 5
네트웍보안 설정
AWS VPC AWS WAF
ü 방화벽 – NACL, Security Group
ü VPC Flow Logs(방화벽로그)
ü Managed NAT
ü 웹 요청 필터링 – IP, 문자열,SQL injection
ü Amazon Cloudfront 연계ü 대쉬보드
데이터 보안
Amazon CloudHSM
ü 타 AWS 서비스들과 연계ü CloudTrail 연계ü AWS SDK for application
encryption
ü 전용 HSM ü on-premises HSM 장비와
연계ü 하이브리드 아키텍쳐
AWS KMS
6
데이터보안 적용
좀 더 고도화된 보안의 필요성
좀더 높은 가시성 자동화를 통한 편리성
• 셀프서비스 – 필요한 리소스를 각자구축
• 리소스 등이 서로 연계되어 있음• 구축 환경의 구성 내역에 대한 안전성
입증 필요
• 늘 발생하는 위배 내역에 대한 반복되는조치
• 빈번한 변경과 즉시 반영• 회사 보안 정책 적용과 이것의 입증이
필요
민첩한 보안 운영 전략 = DevSecOps
DevSecOps가 왜 필요할까요?• 전통적인 보안방식은 확장과 혁신에 많은 제약• 빠른 의사결정이 필수적인 DevOps환경을 원활하게 지원할 새로운 보안 체계
DevSecOps의 고려사항• 고객 중심의 사고• Scale, scale, scale !!!• 목표 범위• 자동화를 통한 선제적인 대응• 피드백을 통한 상시 개선
OPS
SEC
DEV
코드화된 보안
최적화된 변경 관리
AWSConfig
ü 구성 변경내역의지속적인 기록
ü 시간 순서 별 변경내역 추적
ü Archive & Compare
7
변경 관리최적화
AWSInspector
ü 어플리케이션 환경 스캐닝ü 빌트인 룰셋 – CVE(취약점),
운영체제, 네트웍, 인증,어플리케이션
ü 감사 패키지 – PCI-DSS
자동화된 보안 8
보안 기능자동화
Amazon Config Rules
ü 회사정책, 모범사례 기준위배 사항 적발
ü 위배 사항에 대한 자동 조치ü 필요시, 별도 워크플로 병합
AWSCloudFormation
ü 회사 보안 정책의 코드화ü Config Rules + 람다를
활용하여 정책의 강제 집행
AWS Config 소개
AWS Config
• AWS 리소스에 대한인벤토리 관리
• 신규 또는 삭제된리소스에 대한 인식
• 지속적으로 구성정보변경기록
• 구성이 변경되면 통지
정규화변경 내역기록
변경된리소스
AWS Config전달
스트림
스냅샷(ex. 2016-05-17)AWS Config
APIs
저장
이력
AWS Config 데모
Title + Content
Title + Content
Title + Content
Title + Content
Title + Content
Title + Content
어떤 리소스들이 존재하는지 확인
무엇이 변경되었는지 확인
Configuration Item
리소스의 모든 구성속성들에 대해, 변경될 때 마다, 변경된 구성정보들을 담고있는 새로운 Configuration item이 생성됨.
Component Description 전형적인 예
Metadata 해당 configuration item에 대한 정보 Version ID, Configuration item ID, 수집시간, State ID(상태 순서), MD5Hash, 등.
Common Attributes
Resource 속성값 리소스 아이디, 태그, 리소스타입, Amazon Resource Name (ARN), 가용영역 등
Relationships 해당 account 내에 다른 리소스와의어떤 관계가 있는지를 설명.
EBS 볼륨(vol-1234567)이 EC2 인스턴스(i-a1b2c3d4)에 붙어 있음
Current Configuration
해당 리소스의 ‘Describe’, ‘List’ API 콜의리턴 결과
EBS 볼륨 타입(GP2, PIOPS, Magnetic), 볼륨구성 상태(DeleteOnTermination flag 등)
Related Events 해당 리소스의 현재 구성상태를발생시킨 작업의 CloudTrail event 정보
AWS CloudTrail event ID
Configuration Item"configurationItemVersion": "1.0",
"configurationItemCaptureTime": "2014…",
"configurationStateID": “….",
"configurationItemStatus": "OK",
"resourceId": "vol-ce676ccc",
"arn": "arn:aws:us-west-………",
"accountId": "12345678910",
"availibilityZone": "us-west-2b",
"resourceType": "AWS::EC2::Volume",
"resourceCreationTime": "2014-02..",
"tags": {},
"relationships": [
{
"resourceId": "i-344c463d",
"resourceType": "AWS::EC2::Instance",
"name": "Attached to Instance"
}
],
"relatedEvents": [
"06c12a39-eb35-11de-ae07-db69edbb1e4",
],
Metadata
Common Attributes
Relationships
Related Events
Configuration Item"configuration": {
"volumeId": "vol-ce676ccc",
"size": 1,
"snapshotId": "",
"availabilityZone": "us-west-2b",
"state": "in-use",
"createTime": "2014-02-……",
"attachments": [
{
"volumeId": "vol-ce676ccc",
"instanceId": "i-344c463d",
"device": "/dev/sdf",
"state": "attached",
"attachTime": "2014-03-",
"deleteOnTermination": false
}
],
"tags": [
{
"tagName": "environment",
"tagValue": "PROD"
Configuration
Relationships
자동으로 할당되는 의존 관계의 양방향 맵핑.
멀티 리전에서 단일 S3 bucket으로 데이터 취합
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::xxxxx:admin",
"arn:aws:iam::yyyyy:admin",
“.....”
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::myBucketName"
}
"Action": "s3:PutObject",
"Resource": [ "arn:aws:s3:::myBucketName/myLogFilePrefix/AWSLogs/xxxx/*",
리전1
리전2
리전3
공통 S3 버킷
SNS 토픽:리전1
SNS 토픽:리전2
SNS 토픽:리전3
공통 SQS 큐
기존 CMDB 환경과 연계
어댑터는 JSON형식을 각 CMDB 포맷으로 변환하는 커스텀 모듈
BMC, HP, Custom
CMDB어댑
터
어카운트 1
어카운트 2
어카운트 3
공통 S3 버킷공통 SNS 토픽
기존 CMDB 환경과 연계
AWS Config
BMC
HP
API
어댑
터어댑
터
어댑터는 Config API와 연계하는 커스텀 모듈
어카운트 1
어카운트 2
어카운트 3
지원되는 리소스 타입
리소스 타입 리소스
Amazon EC2EC2 인스턴스, EC2 엘라스틱 IP, EC2 Security Group,EC2 네트웍 인터페이스
Amazon EBS EBS 볼륨
Amazon VPCVPC, 네트웍 ACL, 라우팅 테이블, 서브넷, VPN연결,인터넷 게이트웨이, 고객 게이트웨이, VPN 게이트웨이
AWS CloudTrail Trail
Identity and Access Management
IAM 사용자, IAM 그룹, IAM 롤, IAM Customer Managed Policies
Amazon EC2 Dedicated Hosts
AWS Config Rules 소개
Config Rules
• 기록된 구성정보의 검증을 체크하는 룰• 내부 보안 정책(적발 및 대응 조치)의 코딩화
• Managed Rules– AWS가 정의 및 관리되는 룰– 최소한의 구성만 필요
• Custom Rules– 고객이 정의 및 관리– AWS 람다를 사용하여 정의
Config Rules의 시작 조건
1. 변경작업 발생시,• 범위 지정 필요
• 지정된 태그 정보를 가진 리소스만
• 특정 리소스 또는 타입을 지정• Config 관리 영역 전체
• 사례: ‘Production’으로 태깅된 EBS 볼륨은 반드시 EC2 instance에 붙어있어야 함.
2. 주기적으로 실행• 사례: 매 3시간 마다, 해당 Account가 3 대 이상의 “PCI v3” EC2
instance를 실행하고 있는지 확인.
AWS Config Rules – Managed Rule 데모
Custom Rules
• 고객사 프랙티스를 자동화하기 위해 코드로 구현하고AWS 람다 활용
• Config Rules Git hub 저장소:https://github.com/awslabs/aws-config-rules
AWS Config Rules – Custom Rule 데모
대상 리소스 존재 유무 체크
체크 결과를 Config에 기록
승인된 AMI로 생성되었는지 체크
Event와 규칙조건을 파싱
체크 로직 호출
활용하세요!!
• AWS Config 문서• http://aws.amazon.com/documentation/config/
• Config Rules Repository• https://github.com/awslabs/aws-config-rules
• 사용중 문의는 AWS Config forum 활용• https://forums.aws.amazon.com/forum.jspa?forumID=184
마치면서…
OPS
SEC
DEV
코드화된 보안 Amazon Config, Config Rules
민첩한 보안
감사합니다.
여러분의 피드백을 기다립니다!
https://www.awssummit.co.kr
모바일 페이지에 접속하셔서, 지금 세션 평가에참여하시면, 행사 후 기념품을 드립니다.
#AWSSummit 해시태그로 소셜 미디어에 여러분의행사 소감을 올려주세요.
발표 자료 및 녹화 동영상은 AWS Korea 공식 소셜채널로 곧 공유될 예정입니다.