본문 바로가기
* Twodragon/보안 강의 (Course)

클라우드 시큐리티 과정 5기 - 5회차 AWS Control Tower 및 SSO 가이드

Twodragon 2024. 5. 10. 00:39

안녕하세요, Twodragon입니다. 

이번 포스트에서는 클라우드 보안 과정 5기의 AWS 보안 및 아키텍처에 관련된 내용을 다루고자 합니다. 이 과정은 게더 타운에서 진행되며, 각 세션은 20분 강의 후 5분 휴식으로 구성되어 있습니다. 이러한 구성은 온라인 강의의 특성 상 눈의 피로를 줄이고, 멘티 분들의 집중력을 최대화하기 위함입니다. 여러분들과 함께 다양한 AWS 보안 및 아키텍처 관련 주제를 깊이 있게 다루어 보고자 합니다.

 

클라우드보안 (from ChatGPT)

 

10:00 - 10:20 근황 토크 & 과제 피드백

  • 한 주간의 근황 공유 및 토론
  • 영상 & 과제 피드백: 어려웠던 점, 개선점 공유
  • 보안 이슈 논의

10:25 - 10:50 AWS Control Tower

  • AWS SSO (Single Sign-On)
  • Okta 및 SASE 고려사항

11:00 - 11:30 AWS 통합 보안 모니터링

  • AWS Control Tower의 Audit와 Security 계정의 역할
  • AWS 통합 보안 모니터링 설정 방법
  • AWS WAF (Web Application Firewall) vs Cloudflare

11:40 - 12:00 필수적인 실습을 통한 이론 정리 

 

근황 토크 & 과제 피드백

첫 세션에서는 근황 토크와 멘티들 간의 영상 및 과제 토론, 그리고 과제 피드백을 진행합니다. 과제를 통해 학습자들이 경험한 어려움, 개선점 등을 공유하며, 최근 취약점 관련 보안 업데이트 권고 사항을 논의합니다.

 

최근 취약점 업데이트 및 사이버 보안 주의보를 요약했습니다 :

  • Trend Micro Antivirus One 코드 주입 취약점: Macintosh 용 Antivirus One에서 발견된 코드 주입 취약점(CVE-2024-34456)으로, 영향받는 버전 3.10.3 이하 사용자는 3.10.4 버전으로 업데이트 권고됩니다.
  • 한국인터넷진흥원 사칭 피싱 메일 주의: 한국인터넷진흥원을 사칭한 피싱 메일이 유포되고 있으며, 이메일의 출처와 첨부파일을 확인하고 의심스러운 링크는 클릭하지 말 것을 권고합니다.
  • HPE ArubaOS 원격 코드 실행 취약점: ArubaOS에서 발견된 다수의 원격 코드 실행 취약점(CVE-2024-26304, CVE-2024-26305, CVE-2024-33511, CVE-2024-33512)으로, 영향받는 모든 버전을 최신 버전으로 업데이트 필요합니다.

AWS Control Tower

  • AWS Control Tower는 AWS 환경에서 멀티 계정 전략을 구현하고 관리하는 데 필수적인 서비스입니다. 이 서비스를 통해 사용자는 IT 자원을 프로젝트 또는 사업 단위에 맞춰 계정을 생성하고 관리할 수 있으며, 이를 통해 보안, 운영 및 규정 준수를 자동화하여 효율적으로 관리할 수 있습니다.
  • [교보정보통신 기술 블로그]에서는 AWS Control Tower의 다양한 기능과 설정 방법에 대해 상세하게 설명하고 있으며, [AWS Control Tower Workshop]을 통해 직접 실습을 진행할 수 있습니다. [2022 AWS Control Tower 영상]
 

[AWS] Control Tower 란? – 교보DTS 기술 블로그

0. Multi-Account Strategy 클라우드 환경을 관리할 때 각 프로젝트 또는 사업 단위로 IT 자원에 맞춰 계정을 생성하여 관리하다 보면 여러 계정을 사용하게 되고, 이는 멀티 계정 관리에 대한 통합적 관

blog.kyobodts.co.kr

 

AWS Control Tower Workshop

AWS Control Tower Workshop Studio

catalog.workshops.aws

AWS SSO (Single Sign-On) 

  • AWS SSO는 여러 AWS 계정 및 비즈니스 애플리케이션에 대한 중앙 집중식 로그인을 제공합니다. 이를 통해 사용자는 하나의 ID로 모든 관련 자원에 접근할 수 있으며, IT 관리자는 사용자 권한을 쉽게 관리할 수 있습니다. 특히, 보안을 강화하는 과정에서 중요한 역할을 하며, 사용자 관리 및 접근성을 크게 향상시킵니다.

Okta를 활용한 통합계정관리와 보안 강화 전략

Okta 연동을 위한 사전 준비

Okta는 클라우드 기반의 통합계정관리(IAM) 플랫폼으로, 단일 콘솔을 통해 사용자의 클라우드, 온프레미스, 웹 앱부터 서버까지 모든 리소스에서 보안 액세스를 중앙에서 관리할 수 있습니다. 효과적인 Okta 연동을 위해 준비해야 할 사항들은 다음과 같습니다:

  • 타사 서비스와의 호환성 확인: 연동하려는 서비스가 SAML(Security Assertion Markup Language), SCIM(System for Cross-domain Identity Management)을 지원하는지 확인합니다.
  • 연동 우선순위 수립: 연동의 필요성, 편의성 및 보안성을 고려하여 내부적으로 우선순위를 정합니다.
  • Identity 정보 구성 파악: 그룹, 사용자, 역할이 어떻게 구성되어 있는지 파악합니다.
  • 내부 네트워크 및 인증 정책 검토: 내부 네트워크와 인증 정책이 Zero Trust 기준에 부합하는지 확인합니다.
  • 사전작업 및 일정 수립: Okta와의 연동에 필요한 사전작업을 계획하고, 서비스 장애 및 이슈사항에 대해 벤더와 논의한 후 내부 일정을 수립합니다.
  • 공지 및 서비스 가이드 작성: 연동 진행 전 필요한 서비스 가이드를 작성하고, 영향을 받는 직원에게 이를 공지합니다.
  • 모니터링 및 이슈 관리: 연동 후 해당 서비스의 모니터링을 진행하고 발생할 수 있는 이슈를 체크합니다. 문제가 발생한 경우 적절한 조치를 취하고 회고록을 작성합니다.[Okta - AWS SSO 활용 영상]

Okta 운영 및 보안

Okta를 통한 인증 및 보안 강화는 다음과 같은 방법으로 진행될 수 있습니다:

  • 인증 정책: Zero Trust 원칙에 따라 단계적으로 인증 및 인가를 진행합니다. 이는 MFA, Device Trust 등 다양한 보안 솔루션과 연계하여 이루어집니다.
  • 응답 페이로드 관리: Okta FastPass는 서명된 응답 페이로드에 원본 헤더를 포함하여 설치가 권장됩니다. 이를 통해 도메인 불일치를 쉽게 감지하고 경고할 수 있습니다.
  • Jamf Pro와의 통합: MacOS 용 Jamf Pro와 Okta Device Trust를 통합하여 보안을 강화합니다.
  • 위협 탐지 및 모니터링: XDR 보안솔루션과 통합하여 인증 중에 발생할 수 있는 위협을 탐지하고 모니터링합니다.

    이러한 전략을 통해 조직은 보다 효율적이고 체계적인 보안 관리 체계를 구축할 수 있습니다. Okta는 단순한 인증 솔루션을 넘어, 조직의 보안을 종합적으로 강화하는 중추적 역할을 합니다.

추가로 SASE 도입 및 K-ISMS 고려사항에 대한 블로그 내용과 같이 고려하면 좋습니다.

 

SASE 도입 및 K-ISMS 고려사항

미디엄에 첫 글을 쓰기 전, 걱정과 두려움이 많았습니다.

medium.com

  • 글은 코로나19 팬데믹으로 인한 원격 근무 필요성 증가에 따라 보안 강화를 위해 SASE(Secure Access Service Edge) 도입을 고려하게 된 배경과 과정을 소개합니다.
  • SASE의 핵심 구성 요소인 ZTNA(Zero Trust Network Access)를 중심으로 사용자, 장치, 애플리케이션의 식별 및 보안 접근 관리 방안을 설명하며, ISMS-P 표준에 맞춘 보안 솔루션 구현을 다룹니다.
  • 마지막으로 SASE 구성의 나머지 요소인 SWG, CASB, FWaaS에 대한 설명을 통해 조직의 네트워크 보안 아키텍처를 전반적으로 강화하는 방법을 제시합니다.

AWS 통합 보안 모니터링

AWS Control Tower의 Audit와 Security 계정의 역할

  • AWS Control Tower는 멀티 계정 환경을 관리할 때 중앙 집중식으로 보안 및 규정 준수를 감독하는 데 사용되는 서비스입니다. 특히, Audit와 Security 계정은 통합 보안 모니터링에서 중요한 역할을 합니다.
  • 이 과정에서 AWS Control Tower의 Audit와 Security 계정이 중심 역할을 하며, 이를 통해 보다 체계적이고 효과적인 보안 관리를 실현할 수 있습니다.
    • Audit 계정: 이 계정은 로깅 및 모니터링을 위한 계정으로 사용됩니다. 모든 자원에 대한 API 호출과 같은 활동 로그를 수집하여 감사 및 검토 목적으로 사용됩니다. 이 계정을 통해 AWS CloudTrail과 AWS Config 로그가 중앙 집중적으로 관리되며, 이 데이터는 보안 분석 및 규정 준수 보고를 위해 사용됩니다.
    • Security 계정: 보안 계정은 AWS 환경에서 보안 운영을 관리하는 데 사용됩니다. 이 계정은 주로 보안 관련 서비스와 솔루션을 배치하는 데 사용되며, AWS Shield, AWS WAF 등의 서비스를 통해 DDoS 공격 방지 및 웹 애플리케이션 보호 작업을 수행합니다.
       통합 보안 모니터링 설정 방법

AWS 통합 보안 모니터링 설정 방법

  • AWS에서 통합 보안 모니터링을 설정하는 과정은 다음과 같습니다:
    • AWS CloudTrail 설정: AWS CloudTrail을 사용하여 모든 계정의 API 활동을 로깅합니다. 이 로그는 Audit 계정에 저장되어, 언제 어떤 작업이 수행되었는지 파악할 수 있도록 합니다.
    • AWS Config 활용: AWS Config를 설정하여 AWS 리소스의 구성 변경을 모니터링하고, 필요에 따라 알림을 받을 수 있습니다. 이러한 구성 정보는 보안 분석에 중요한 데이터를 제공합니다.
    • 보안 알림 설정: Amazon SNS, Lambda를 활용하여 보안 관련 이벤트 발생 시 즉각적인 알림을 받을 수 있도록 설정합니다. 이를 통해 보안 팀은 빠른 대응을 할 수 있습니다.
    • AWS Security Hub 통합: AWS Security Hub를 사용하여 보안 데이터를 한눈에 볼 수 있으며, AWS가 제공하는 베스트 프랙티스에 따라 보안 상태를 점검하고 개선할 수 있습니다.

      이러한 통합 보안 모니터링 시스템을 구축함으로써, 조직은 보다 빠르고 효과적으로 보안 위협에 대응하고, 더 나은 보안 정책과 절차를 수립할 수 있습니다. AWS 환경에서의 보안 관리는 이처럼 체계적이고 중앙 집중적인 접근 방식을 필요로 하며, AWS Control Tower의 Audit와 Security 계정은 이 과정에서 필수적인 역할을 합니다.

AWS WAF (Web Application Firewall)

  • 웹 애플리케이션을 보호하는 데 중요한 도구입니다. 이 서비스는 SQL 인젝션, 크로스 사이트 스크립팅(XSS) 등 다양한 웹 기반 공격으로부터 보호하며, 사용자 정의 규칙을 설정하여 트래픽을 제어할 수 있습니다. AWS WAF는 [AWS WAF Workshop]를 통해 실습할 수 있으며, DVWA(Damn Vulnerable Web Application)를 활용한 공격 및 방어 실습이 가능합니다.[AWS WAF와 전체적인 네트워크 시나리오]
 

AWS WAF Workshop

AWS WAF 공격 및 방어 실습 본 실습 프로그램은 AWS의 웹방화벽(WAF) 서비스를 이용하여 취약한 웹 서비스에 대한 공격과 이를 방어하기 위한 AWS WAF의 구성을 실습할 수 있도록 교재를 제공하는데 그

sessin.github.io

AWS WAF와 Cloudflare의 차이점

  • AWS WAF
    • 서비스범위 : 주로 웹 애플리케이션 보안에 초점을 맞춘 서비스로, AWS 에코시스템 내에서 작동
    • 통합성 : AWS 서비스(예: Amazon CloudFront, Amazon API Gateway)와의 깊은 통합을 제공하여, AWS 인프라 내에서의 보안을 강화
    • 기능 : 사용자 정의 웹 트래픽 필터링 규칙을 제공하여 보다 세밀한 액세스 제어가 가능하며, 특히 AWS 환경에서 운영되는 애플리케이션에 최적화
  • Cloudflare
    • 서비스범위 : CDN을 포함한 포괄적인 인터넷 보안 솔루션을 제공합니다. 이는 웹사이트의 성능 향상과 보안 강화를 동시에 제공
    • 통합성 : 독립적인 플랫폼으로서 다양한 웹 호스팅 환경과 통합될 수 있으며, 전 세계적으로 분산된 서버를 통해 콘텐츠를 빠르게 제공합니다.
    • 기능 :  DDoS 보호, SSL/TLS 지원, 안전한 DNS 서비스 등을 포함하여, 웹사이트의 전반적인 성능과 보안을 향상시키는 광범위한 기능을 제공합니다.

각각의 서비스는 웹 보안 및 성능 향상을 목적으로 하지만, Cloudflare는 CDN과 보안 서비스를 결합한 반면, AWS WAF는 AWS 에코시스템에서 보다 특화된 보안 기능을 제공합니다. 사용자의 특정 요구사항과 인프라에 따라 적합한 서비스를 선택하는 것이 중요합니다.

필수적인 실습을 통한 이론 정리 

 

GitHub - awskrug/security-group

Contribute to awskrug/security-group development by creating an account on GitHub.

github.com

이러한 실습을 통해 참여자들은 실제로 보안 위협을 식별하고 대응하는 경험을 쌓을 수 있습니다. 클라우드 보안이 중요해지는 현 시점에서, 이와 같은 교육 과정은 필수적인 기술을 배우는 데 큰 도움이 됩니다.

저작자표시 비영리 변경금지

'* Twodragon > 보안 강의 (Course)' 카테고리의 다른 글

클라우드 시큐리티 과정 5기 - 4회차 AWS 취약점 점검 및 ISMS 대응 가이드  (0) 2024.05.01
클라우드 시큐리티 과정 5기 - 3회차 AWS 보안 및 아키텍처  (0) 2024.04.20
클라우드 시큐리티 과정 5기 - 2회차 AWS 기초 및 아키텍처  (0) 2024.04.12
클라우드 시큐리티 과정 5기 - 1회차 클라우드 시대의 보안 전략: DevSecOps와 제로 트러스트  (0) 2024.04.04

'* Twodragon/보안 강의 (Course)' Related Articles

티스토리툴바