[aws] Security

안녕하세요. 최근 Security Hands-On을 진행하며 해당 내용을 이해하고 공유하기 위해 작성한 글입니다. 해당 내용은 AWS 사용자그룹 security 소모임 내용을 기반으로 했습니다.

클라우드 보안에 대한 생각은? 무엇이 클라우드 보안인가?

• aws security is job zero
• AWS 규정 준수 프로그램
• Shared Responsibility Model(공동 책임 모델)
• 벤더가 control 할 수 있는 영역과 고객이 control 할 수 있는 영역이 나뉘어있음
• 3rd party 경우도 구성 방법에 따라 공유 책임 모델이 달라짐
• 예)customer — EC2 Linux 인스턴스에서 열려있는 포트를 결정하는 SG 그룹 규칙 구성, 최신 보안 패치로 운영체제 패치, S3 버킷에 대한 서버측 암호화 기능 사용
• 벤더 (AWS)— 물리적 데이터 센터를 모니터링하기 위한 카메라 시스템 설치, 데이터 센터에서 디스크 드라이브 파쇄, 하이퍼바이저 수준에서 패킷 스니핑 방지, AWS 데이터 센터 내부의 내부 네트워크 보안

Organized Around Core — Cloud Adaption Framework(security perspective)

1. identity and access management : 식별, 인증, 인가(누가 어디에 어떻게) ex) IAM, SSO…

2. detective controls : 문제 발생 시 저장하고 finding ex) logging, monitoring, config

3. infrastructure protection : network security, ex) SG, WAF, ddos

4. data protection : 전송/저장 데이터 보안(encryption at rest, encryption in transit) ex) KMS, HSM

5. incident response : 앞의 1~4번 과정이 어느 정도 구성된 후 가능. public cloud에서는?

실습

Amazon Chime

Edit description

app.chime.aws

Event Engine - Team Dashboard

Edit description

dashboard.eventengine.run

WAFV2 Automation block

• aws, cloudfront, alb, cognito, api gateway, appsync
• 3rd party rules migration 쉽지 않음
• Signature-Based vs. Rule-Based WAFs — Penta Security
• AWS WAF를 통한 웹 공격 방어 정책 설정 및 오탐 예외 처리하기
• GWLB + 3rd party WAF

AWS Gateway Load Balancer

WAF 실습

웹 공격에 취약하도록 의도된 web application ( DVWA ) 에서 AWS WAF 를 통해 웹 공격을 차단하는 방법

GuardDuty

• Amazon GuardDuty는 AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 상세한 보안 결과를 제공하여 가시성 및 해결을 촉진하는 위협 탐지 서비스입니다.[이전 [aws] GuardDuty, Macie, Inspector 글 참고]
• GuardDuty는 detection 기능을 담당합니다.
• IPS 는 악성 트래픽을 식별하고 그러한 트래픽이 네트워크에 유입되는 것을 사전에 차단하는 기능을 담당합니다.

실습

AWS 환경에서의 침해사고 대응 워크샵

1. template — cloudformation(waf-v2-workshop.template) (admin/password)

2. s3 — 미리 s3 생성 후 실습 파일(prune_old_entries.zip, guarddutytoacl_V3_210309.template, guardduty_to_acl_lambda.zip) 업로드 후 해당 s3 url로 cloudformation 생성

3. WAF — ALB에 붙이기

1)Web ACLs

IP sets

• add my own rules and rule groups 선택

 

 

blog migration project

written in 2022.12.17

https://medium.com/techblog-hayleyshim/aws-security-fd7ef8b7cefd