AWS (11) 썸네일형 리스트형 AWS Security Hub 를 통해 GuardDuty 에서 발견된 로그 자동으로 경감조치하기 (custom action) AWS GuardDuty의 기능에 대해서는 이미 여러 곳에서 언급되었기에 생략하겠습니다. 여기서의 요점은 GuardDuty에서 진단하는 이 로그들을 토대로 경감조치 Remediation의 자동화를 어떻게 할 것이냐입니다. 예를 들어 하나의 인스턴스가 악성 봇에 감염되어 다른 인스턴스에 Ping을 보내고 포트스캔을 시도한 흔적을 GuardDuty에서 발견했습니다. 또 다른 인스턴스에 접근하지 못하게 재빨리 감염된 인스턴스에 대해 조치를 취해야 할 것입니다. 만약 보안 관리자가 발견하였다면 즉각 조치가 취해지겠지만 늦게 발견하였다면? 그리고 일일이 보안 관리자가 직접 조치를 해야 한다면? 이런 상황에서 탐지된 로그를 바탕으로 자동조치를 취하는 케이스에 대해 알아보고자 합니다. 시나리오는 다음과 같습니다. 1.. 제로 트러스트 아키텍처 EC2 인스턴스 pam 키 없이 접근권한 부여 기업들은 다양한 서비스의 개발을 외주인력에게 의뢰하는 경우가 있습니다. 이 경우 필요한 자산을 클라우드로 제공하면서 외주인력들에게 클라우드의 pam 키와 ec2-user 접근 권한을 주지 않으면서 필요한 자산에만 접근권한을 부여하는 정책을 보여드리고자 합니다. 주 자산은 EC2-instance로 생성되는 리눅스 OS이며 외주인력은 프로젝트에 필요한 자원을 클라이언트 사 클라우드 담당자에게 요청하게 됩니다. 이때 생성되는 자원을 외주인력에게 접근 권한을 부여하지만 pam 키는 주지 않고자 합니다. 예를 들어 외주인력 10명이 있고 이들은 아마존 리눅스2 10대를 요청하였습니다. 프로젝트명은 A입니다. 클라이언트 사는 외주인력용 AD 계정을 생성해 이 계정을 통해 요청된 자원에 접근을 허용하고자 합니다. 프.. 제로 트러스트 아키텍처 Cloud IAM 기반 태그별 권한 할당 클라우드에서 IAM 권한을 세분화 해 클라우드 내 A 팀에서 생성한 자원은 A 팀에서만 접근/관리가 가능하고 B팀에서 생성한 자원은 B팀만 접근/관리가 가능하도록 C팀에서 생성한 자원은 C팀만이 접근/관리가 가능한 클라우드 보안 정책을 소개하고자 합니다. 위의 그림의 경우 MSA 을 운영한다는 가정하에 IT 인력이 Devops 에 적합하도록 배치되어 있습니다. A 팀은 A 서비스의 모든 것을 관리/운영/개발 하며 B팀은 B 서비스의 모든 것을 관리/운영/개발 하게 되어있습니다. 마찬가지로 클라우드 내 자원의 생성/삭제 역시 각 팀의 팀장 또는 infra 담당이 관리하며 이렇게 생성된 자원은 오직 각팀의 구성원만이 접근이 가능합니다. 우선 클라우드 계정과 제로 트러스트 솔루션을 이용해 AD와의 연동 과정을.. 이전 1 2 다음
