본문 바로가기

* Twodragon/보안 강의 (Course)

클라우드 시큐리티 과정 6기 - 6주차 AWS 보안 모니터링 및 대응

안녕하세요, Twodragon입니다. 

이번 포스트에서는 클라우드 보안 과정 6기의 AWS 보안 모니터링 및 대응에 관련된 내용을 다루고자 합니다. 이 과정은 게더 타운에서 진행되며, 각 세션은 20분 강의 후 5분 휴식으로 구성되어 있습니다. 이러한 구성은 온라인 강의의 특성 상 눈의 피로를 줄이고, 멘티 분들의 집중력을 최대화하기 위함입니다. 여러분들과 함께 다양한 AWS 보안 모니터링 및 대응 관련 주제를 깊이 있게 다루어 보고자 합니다.

 


 

10:00 - 10:20 근황 토크 & 과제 피드백

  • 한 주간의 근황 공유 및 토론
  • 영상 & 과제 피드백: 어려웠던 점, 개선점 공유
  • 보안 이슈 논의

10:25 - 10:50 Zero Trust 아키텍처

11:00 - 11:30 AWS 통합 보안 모니터링

  • AWS 보안 모니터링 및 자동화 설정
  • Splunk
  • AWS WAF (Web Application Firewall)
  • Cloudflare

11:40 - 12:00 필수적인 실습을 통한 이론 정리 


 

최신 보안 업데이트 권고사항

  • 금융보안원이 금융회사의 안전한 클라우드서비스 이용을 지원하기 위해 주요 국내·외 9개 클라우드 서비스 제공업체(CSP)와 협업하여 금융분야 상용 클라우드서비스 보안 관리 참고서를 발간했습니다. 이 참고서는 클라우드 보안 관리를 위한 5개 분야와 32개 기준으로 구성되어 있으며, 각 분야별로 가상자원 관리, 네트워크 관리, 계정 및 권한 관리, 암호키 관리, 로깅 및 모니터링 관리 등을 포함합니다. 참고서에는 보안 관리 기준별 설명, 예시, 우수 사례 등을 제공합니다.
  • 러·우 전쟁 및 국제 해킹그룹 관련 사이버 위협 증가 : 러·우 전쟁과 국제 해킹그룹의 활동으로 국내 DDoS 공격 등 사이버 위협이 증가하고 있습니다. 각 기관과 기업은 비상 상황에 대비해 보안을 강화해야 합니다.
  • 랜섬웨어 및 DDoS 공격 사례 : 랜섬웨어는 계정 탈취와 권한 상승을 통해 시스템을 감염시키고, DDoS 공격은 정부 및 금융기관을 표적으로 합니다. 이러한 공격은 경제적 및 사회적 큰 피해를 초래할 수 있습니다.

Zero Trust 아키텍처

SASE 도입 및 K-ISMS 고려사항에 대한 블로그 내용과 같이 고려하면 좋습니다.

 

SASE 도입 및 K-ISMS 고려사항

미디엄에 첫 글을 쓰기 전, 걱정과 두려움이 많았습니다.

medium.com

 

  • 글은 코로나19 팬데믹으로 인한 원격 근무 필요성 증가에 따라 보안 강화를 위해 SASE(Secure Access Service Edge) 도입을 고려하게 된 배경과 과정을 소개합니다.
  • SASE의 핵심 구성 요소인 ZTNA(Zero Trust Network Access)를 중심으로 사용자, 장치, 애플리케이션의 식별 및 보안 접근 관리 방안을 설명하며, ISMS-P 표준에 맞춘 보안 솔루션 구현을 다룹니다.
  • 마지막으로 SASE 구성의 나머지 요소인 SWG, CASB, FWaaS에 대한 설명을 통해 조직의 네트워크 보안 아키텍처를 전반적으로 강화하는 방법을 제시합니다.

AWS 통합 보안 모니터링

AWS 통합 보안 모니터링 설정 방법

  • AWS에서 통합 보안 모니터링을 설정하는 과정은 다음과 같습니다:
    • AWS CloudTrail 설정: AWS CloudTrail을 사용하여 모든 계정의 API 활동을 로깅합니다. 이 로그는 Audit 계정에 저장되어, 언제 어떤 작업이 수행되었는지 파악할 수 있도록 합니다.
    • AWS Config 활용: AWS Config를 설정하여 AWS 리소스의 구성 변경을 모니터링하고, 필요에 따라 알림을 받을 수 있습니다. 이러한 구성 정보는 보안 분석에 중요한 데이터를 제공합니다.
    • 보안 알림 설정: Amazon SNS, Lambda를 활용하여 보안 관련 이벤트 발생 시 즉각적인 알림을 받을 수 있도록 설정합니다. 이를 통해 보안 팀은 빠른 대응을 할 수 있습니다.
    • AWS Security Hub 통합: AWS Security Hub를 사용하여 보안 데이터를 한눈에 볼 수 있으며, AWS가 제공하는 베스트 프랙티스에 따라 보안 상태를 점검하고 개선할 수 있습니다.
    • AWS 보안 모니터링 환경 구성 하기 1부 : https://11st-tech.github.io/2021/10/01/aws-security1/
    • AWS 보안 모니터링 환경 구성 하기 2부 : https://11st-tech.github.io/2021/11/01/aws-security2/

      이러한 통합 보안 모니터링 시스템을 구축함으로써, 조직은 보다 빠르고 효과적으로 보안 위협에 대응하고, 더 나은 보안 정책과 절차를 수립할 수 있습니다. AWS 환경에서의 보안 관리는 이처럼 체계적이고 중앙 집중적인 접근 방식을 필요로 하며, AWS Control Tower의 Audit와 Security 계정은 이 과정에서 필수적인 역할을 합니다.
 

AWS 보안 모니터링 환경 구성 하기-1부 | 11번가 TechBlog — 11번가 기술블로그

안녕하세요!! 11번가 정보보안팀에서 보안관제 및 CERT 업무를 맡고 있는 이상옥 입니다. 11번가 AWS 클라우드 서비스 환경으로 전환되고 있으며, 이에 맞춰 보안 모니터링 환경을 구성하고 개선하

11st-tech.github.io

 

AWS 보안 모니터링 환경 구성 하기-2부 | 11번가 TechBlog — 11번가 기술블로그

안녕하세요!! 11번가 정보보안팀 이상옥 입니다. “AWS 보안 모니터링 환경 구성 시작하기-1부”에서 AWS 환경에서의 사용할 수 있도록 SIEM 솔루션을 구성 하였습니다. AWS 환경에서 보안 서비스를

11st-tech.github.io

 

AWS 보안 자동화 설정

이 GitHub 레포지토리는 AWS 관련 작업과 보안 조치를 다루는 코드를 포함하고 있습니다. 

 

GitHub - Twodragon0/Lambda: AWS-related tasks and security measures

AWS-related tasks and security measures. Contribute to Twodragon0/Lambda development by creating an account on GitHub.

github.com

 

AWS API 실시간 모니터링

  • 목표: 주요 AWS 활동의 보안 및 실시간 모니터링 향상
  • CloudTrail 로그 감시 (KMS, S/G, IAM)
  • CloudWatch Events와 Lambda를 사용한 로그 처리
  • 주요 AWS 이벤트와 액션 모니터링 (Guardduty, Config)

Amazon Systems Manager (SSM) 구현

  • 목표: 인스턴스 관리 및 보안 강화
  • Amazon SSM 에이전트 설치 및 관리
  • IAM 역할 및 보안 정책 설정
  • 서비스 제어 정책(SCP) 및 세션 암호화 구현


AWS Lambda를 사용하여 CloudTrail, Guardduty, Config 로그를 실시간으로 모니터링하고, 중요한 보안 이벤트가 발생할 때 알림을 설정할 수 있습니다. SSM을 통해 AWS 인스턴스의 관리를 자동화하고 보안을 강화할 수 있습니다.

 

AWS WAF (Web Application Firewall)

  • 웹 애플리케이션을 보호하는 데 중요한 도구입니다. 이 서비스는 SQL 인젝션, 크로스 사이트 스크립팅(XSS) 등 다양한 웹 기반 공격으로부터 보호하며, 사용자 정의 규칙을 설정하여 트래픽을 제어할 수 있습니다. AWS WAF는 [AWS WAF Workshop]를 통해 실습할 수 있으며, DVWA(Damn Vulnerable Web Application)를 활용한 공격 및 방어 실습이 가능합니다.[AWS WAF와 전체적인 네트워크 시나리오]
 

AWS WAF Workshop

AWS WAF 공격 및 방어 실습 본 실습 프로그램은 AWS의 웹방화벽(WAF) 서비스를 이용하여 취약한 웹 서비스에 대한 공격과 이를 방어하기 위한 AWS WAF의 구성을 실습할 수 있도록 교재를 제공하는데 그

sessin.github.io

 

Cloudflare

Cloudflare는 웹사이트의 성능과 보안을 강화하기 위한 다양한 기능을 제공합니다. 다음은 주요 활용 방법입니다:

  • DDoS 보호: 대규모 트래픽 공격을 차단합니다.
  • WAF (웹 애플리케이션 방화벽): SQL 인젝션, XSS 등 웹 공격을 방어합니다.
  • SSL/TLS 지원: 데이터 암호화를 통해 안전한 통신을 보장합니다.
  • 안전한 DNS 서비스: DNS 하이재킹을 방지하고 신속한 도메인 응답을 제공합니다.
  • 봇 관리: 악의적인 봇 트래픽을 감지하고 차단합니다.
  • CDN (콘텐츠 전송 네트워크): 전 세계에 분산된 서버를 통해 콘텐츠를 빠르게 전달합니다.
  • 페이지 규칙 및 리디렉션: 특정 페이지에 대한 규칙 설정과 URL 리디렉션을 관리합니다.

이러한 기능을 적절히 조합하여 웹사이트의 보안을 강화하고 성능을 최적화할 수 있습니다. 사용자의 특정 요구사항과 인프라에 맞게 Cloudflare 설정을 조정하는 것이 중요합니다.

https://developers.cloudflare.com/reference-architecture/architectures/security/

 

Cloudflare Security Architecture | Cloudflare Reference Architecture docs

This document provides insight into how this network and platform are architected from a security perspective, how they are operated, and what services are available for businesses to address their own security challenges.

developers.cloudflare.com

 

필수적인 실습을 통한 이론 정리 

이 포스팅이 AWS 환경에서의 보안 모니터링 및 대응에 도움이 되길 바랍니다. 추가적인 질문이나 도움이 필요하시면 언제든지 댓글로 남겨주세요.