정보보안 스터디 - 23주차 7일 - AWS 클라우드 보안 서비스, SIEM
☞ AWS 클라우드 보안 서비스
모든 서비스를 적용할 필요는 없고 필요한 부분만 사용하면 되기 때문에 적은 비용으로 큰 효과를 얻습니다.
최근은 망분리 규정은 생산성, 효율성이 떨어지므로 다른 방안이 필요합니다.
사람이 일일이 손으로 작업하지 않고 자동화할 수 있다면 생산성, 효율성이 올라갈 것입니다.
☞ 안전한 보안 = 보안프레임워크의 기준
강력한 자격증명 기반 구현
로그 추적 가능
OSI7 모든 계층에 보안 적용
보안 모범사례 자동화
전송 및 저장 데이터 보호
보안 이벤트 대비
여기서 이벤트 - 사건
로그 - 이벤트를 저장을 뜻입니다.
☞
1) 강력한 자격증명
IAM - 리소스 등에 대한 엑세스를 안전하게 관리
SSO - 중앙 관리
Directory Service - AD와 같은 서비스
cognito - 제 3자 인증
organization - 여러 계정 관리 용이
resource access - 리소스 안전하게 공유
☞ 기능들
| IAM 모든 리소스에 대해 세분화된 액세스 제어를 제공합니다. 기본으로 깔려있어 무료입니다. 유저, 그룹, 추상적인 개체에 policies(롤)을 할당해 적용합니다. inline policies는 특정 정해진 유저, 그룹에만 적용합니다. |
| Cloudtrail 기본적으로 클라우드에서는 API를 호출을 하면서 통신하며 API호출만 추적하면 모든 활동을 추적할 수 있습니다. 로그만 분석하면 누가 언제 무엇을 어떻게 했는지 나옵니다. |
| VPN flow logs 네트워크를 로그해주는 서비스입니다. wireshark와 비슷하게 남습니다. 독립적으로 수행되기 때문에 성능 저하가 없습니다. |
| cloudwatch AWS말고도 어플리케이션이 어떻게 동작하고 에러났지는지, 메모리 등을 로그합니다. 직접 분석할 필요 없이 이벤트시간 등 json형식으로도 뽑을 수 있습니다. |
| guard duty 위협 감지 서비스입니다. 성능 저하없습니다. 머신러닝기반으로 알려진 위협: 코인채굴, 멀웨어, ssh brutefoce 등 알려지지 않은 위협: 이상탐지(평소와 다른 행동) 를 수행합니다. |
| inspector CVE, CIS, best practce 등의 기반으로 취약점 평가 서비스 입니다. CVE 어떤 위험이 있는지 한눈에 보여주며 score로 표시해줍니다. 22번 포트를 열어서 취약하다고 하기 보다는 해당 환경에 따라 취약점인지 다르게 평가될 수 있습니다. |
| config 리소스의 구성기록(설정)이 언제 어떻게 변경되었는지 감시하고 기준을 정해놓고 변경 시 평가합니다. 이 때 기준이 중요한데 규정준수팩 K-ISMS 등 적용만하면 준수했는지 적용됩니다. 자동으로 가능하지만 그건 위험하기 때문에 sns알림 등의 notice만 권장합니다. |
| security hub 이러한 다양한 감지를 한눈에 파악할 수 있도록 관리합니다. 준수현황 검사 자동화를 합니다. |
☞ 인프라보안
| shield L3, L4 계층 udp/tcp syn flood 등 DDOS를 막습니다. |
| network firewall 인터넷의 트래픽을 firewall에서 pass or drop을 결정해 처리합니다. VPC단위의 방화벽입니다. 기준은 대표적으로 SLQ ineection, XSS 가 있고 웹 앱 취약점. 보호 민감데이터 노출 화이트리스트/블랙 기반 속도 기반 OWASP top10 준수 load balancer , app sync 등 가능. |
| WAF 웹 방화벽 서비스 개발한 룰에 대한 카운트, 로깅합니다. L3레이어 필터링 |
| route53 dns query 비이상적인 도메인에대한 DNS요청을 감지합니다. 도메인 이름 기반의 필터링 |
| private link 외부 인터넷파일을 들여오는 것은 위험하므로 AWS네트워크 내에서 호스팅하도록합니다. |
| system manager EC2 , on premise 모두 시스템 관리. OS패치 적용 등 |
☞ 데이터 보호
| macie 민감 정보 자동 탐지 툴입니다. 주민번호, 계좌번호 등의 룰을 설정하고 탐지해 검출합니다. |
| KMS 암호화 키 생성 및 제어 중앙 집중형 키 보호. |
| certificate manager SSL/TLS 인증서 발급 관리 (단 무료발급하지만 SSL/TLS 를 외부에서 사용은 불가합니다.) |
| security manager API키 민감정보 평문 하드코딩 되지 않도록 합니다. |
☞ 보안 이벤트 대비
| detective 다양한 소스에서 위협 내용을 분석하고 근본 원인 빠르게 파악합니다. SSH brutefoce 등 위협에 대해 조사버튼이 있습니다. 경보수준 조정. / 사고분석-특정IP API호출내역, 자격증명 사용햇는지 / threat hunt 시각화해서 나타낸 그래프를 제공합니다. |
| eventbridge |
| back up 전반 백업 중앙집중 자동화 |
익숙하고 더 나은 회사 솔루션이 있다면 오케스트레이션도 지원합니다.
inspector 뿐만아니라 여러 파트너사에서 제공되는 평가 결과 등을 데이터로 가져올 수 있습니다.
이렇게 나온 검사 결과를 SIEM에서 일괄 관리 하고 dashboard에서 한눈에 볼 수 있도록 SIEM을 구축해야 합니다.
세부적으로 조치가 필요한 이유까지 나오면서, 구체적인 계획을 세울 수 있게 해줍니다.
☞ 위 서비스를 활용한 SIEM 구축
SIEM은 통합 모니터링 솔루션으로
중앙 집중 로그 수집 > 상관관계 분석 = 유의미한 위협 > 알람이나 자동화 조치.
잘알려진 splunk, sumo logic, elastic 등 이 있습니다.
장점
로그수집에 대해 S3 스토리지 활용이 가능합니다. 즉 간단하고 저렴하게 로그를 수집합니다.
3rd-party솔루션 연동이 가능합니다.
손쉬운 dashboard솔루션 가시성 제공합니다.(시각화 도구)
pay as you go - 사용한 만큼. 로그 적게 쌓이면 적은 비용.
cloudformation - 인프라 배포하기 때문.
☞ 보안 로그 통합 및 파이프라인 구축 예시
security hub cloudtrail waf route53 floglos 에서 다양하게 수집된 로그들을
EC2, S3 스토리지에서 수집하고
> opensearch으로 내보내거나
agent tool로 내보내거나
lambda, kinesis data firehose 를 거쳐 데이터 가공을 할 수도 있습니다.
> dashboard, sns 알람 구성
lambda는
저렴(월 100만건무료=소형이라면거의무료)하지만
function을 직접 개발해야하며
kinesis data firehose는
오픈서치기반이라 = 개발없이 가능하지만
데이터방대한 경우가 적절합니다.
지속적인 관리없이 자동 크기 조절.
SIEM선택에서 고려해봐야 할 점은
cost-effective, fast(미리예방, 즉각조치, 실시간 로그수집), workloads(데이터량), easy(운용 용이) 입니다.
