☞ AWS 클라우드 보안 서비스
모든 서비스를 이용할 필요 없이 필요한 부분만 사용하면 적은 비용으로 큰 효과를 볼 수 있습니다.
최근 망분리 규제는 생산성과 효율성이 낮아 다른 대책이 필요하다.
사람들이 육체 노동 없이 자동화할 수 있을 때 생산성과 효율성이 향상될 것입니다.
☞ 확실히 확실히 = 보안 프레임워크 표준
강력한 참조 기반 구현
프로토콜 이해 가능
모든 수준의 OSI7 보안
보안 모범 사례 자동화
전송 중 및 미사용 데이터 보호
보안 이벤트 준비
여기에서 이벤트 – 이벤트
로그 – 이벤트를 저장하는 것을 의미합니다.
☞
1) 강력한 참조
IAM – 리소스 등에 대한 보안 액세스
SSO – 중앙 관리
디렉토리 서비스 – AD와 유사한 서비스
cognito – 타사 인증
조직 – 여러 계정을 쉽게 관리
리소스 액세스 – 리소스의 안전한 공유
☞ 형질
| 그래요 모든 리소스에 대한 세분화된 액세스 제어를 제공합니다. 기본적으로 설치되며 무료입니다. 사용자, 그룹 및 추상 엔터티에 정책(역할)을 할당하고 적용합니다. 인라인 정책은 정의된 특정 사용자 및 그룹에만 적용됩니다. |
| 구름 흔적 기본적으로 클라우드는 API 호출을 하는 동안 통신하고, API 호출만 추적할 때, 모든 활동을 추적할 수 있습니다. 로그를 분석하면 누가 무엇을 언제 어떻게 했는지 알 수 있습니다. |
| VPN 흐름 로그 네트워크를 기록하는 서비스입니다. Wireshark와 유사하게 유지됩니다. 독립적으로 실행되기 때문에 성능 저하가 없습니다. |
| 클라우드 가드 AWS 외에도 애플리케이션의 성능, 오류 및 메모리를 기록합니다. 직접 구문 분석할 필요가 없으며 이벤트 시간 및 기타 데이터를 JSON 형식으로 추출할 수도 있습니다. |
| 경비원 위협 탐지 서비스입니다. 성능 저하가 없습니다. 머신러닝 기반 알려진 위협: 코인 마이닝, 맬웨어, SSH Brutefoce 등 알 수 없는 위협: 이상 탐지(비정상적인 동작) 하다. |
| 조사관 CVE, CIS, Best Practice 등을 기반으로 한 취약점 진단 서비스입니다. 어떤 CVE리스크인지 한눈에 보여주고 점수로 표시해줍니다. 22번 포트를 열어서 취약해지는 대신 환경에 따라 다르게 평가할 수 있습니다. |
| 구성 리소스 구성 레코드(설정)가 변경되는 방법과 시기를 모니터링하고 표준을 설정하며 변경 사항을 평가합니다. 이때 기준이 중요하며 컴플라이언스 패키지, K-ISMS 등을 적용할 때 적용됩니다. 자동으로 가능하지만 위험하므로 sns알림 같은 알림만 권장합니다. |
| 보안 센터 이러한 다양한 탐지를 한 눈에 관리합니다. 규정 준수 검사를 자동화합니다. |
☞ 인프라 보안
| 징후 L3, L4 레이어 UDP/TCP Syn Flood와 같은 DDOS를 차단합니다. |
| 네트워크 방화벽 인터넷 트래픽은 방화벽에서 패스 또는 드롭을 결정하여 처리됩니다. VPC 방화벽입니다. 기본값은 SLQ inection과 XSS가 대표적 웹 앱의 취약점. 보호된 민감한 정보의 공개 화이트리스트/블랙 기반 속도 기반 OWASP Top10 준수 Load Balancer, App Sync 등 사용 가능. |
| WAF 웹 방화벽 서비스 개발된 규칙을 세고 기록합니다. L3 계층 필터링 |
| 비공개 링크 외부 인터넷 파일을 가져오는 것은 위험하므로 AWS 네트워크 내에서 호스팅해야 합니다. |
| 시스템 관리자 EC2 , 현장의 모든 시스템 관리. OS 패치 적용 등 |
☞ 데이터 보호
| 메이시 민감한 정보에 대한 자동 탐지 도구입니다. 주민등록번호, 계좌번호 등의 규칙을 설정하고 이를 인지하고 인식합니다. |
| CMS 암호화 키 생성 및 제어 중앙 집중식 키 보호. |
| 인증서 관리자 SSL/TLS 인증서 발급 관리 (단, 무료로 발급되지만 SSL/TLS는 외부에서 사용할 수 없습니다.) |
| 보안 관리자 민감한 API 키 정보가 일반 텍스트로 하드코딩되지 않았는지 확인합니다. |
☞ 보안 이벤트 준비
| 형사 여러 출처의 위협을 분석하고 근본 원인을 신속하게 파악합니다. SSH Bruteforce와 같은 위협에 대한 조사 버튼이 있습니다. 경고 수준을 조정합니다. / 사고 분석 – 특정 IP API 호출 내역, 자격 증명 사용 여부 / Threat Hunting 시각화된 그래픽을 제공합니다. |
| 이벤트 브리지 |
| 백업을하기 위해 전체 중앙 집중식 백업 자동화 |
또한 귀하가 잘 알고 있고 더 잘 알고 있는 엔터프라이즈 솔루션이 있는 경우 오케스트레이션을 지원합니다.
검사자 외에도 다양한 파트너의 평가 결과를 데이터로 가져올 수 있습니다.
SIEM은 이렇게 얻은 검사 결과를 SIEM에서 일괄 관리하고 대시보드에서 한눈에 볼 수 있도록 구성해야 합니다.
조치가 필요한 이유도 자세히 설명하므로 구체적인 계획을 세울 수 있습니다.
☞ 위의 서비스를 사용하여 SIEM 구축
SIEM은 통합 모니터링 솔루션입니다.
중앙 집중식 로그 수집 > 상관 관계 = 중요한 위협 > 경고 또는 자동화된 조치.
잘 알려진 Splunk, Sumo Logic, Elastic 등이 있습니다.
장점
S3 스토리지는 로그 수집에 사용할 수 있습니다. 이것은 간단하고 저렴하게 둥근 목재를 수집하는 것을 의미합니다.
타사 솔루션과의 통합이 가능합니다.
대시보드 솔루션(시각화 도구)에 대한 쉬운 가시성 제공
종량제 – 사용한 만큼 지불합니다. 로그 수가 적고 비용이 절감됩니다.
cloudformation – 인프라 배포용.
☞ 보안 프로토콜 통합 및 파이프라인 구축 사례
비행하지 않고 cloudtrail waf route53 보안 허브에서 수집한 다양한 로그
EC2, S3 스토리지 및
> opensearch로 내보내기 또는
에이전트 도구로 내보내기
Lambda 및 Kinesis Data Firehose를 통해 데이터를 처리할 수도 있습니다.
> 대시보드, SNS 알림 구성
람다는
저렴함(월 100만 무료 = 적으면 거의 무료)
기능을 직접 개발해야 합니다.
Kinesis Data Firehose
개방형 검색을 기반으로 하기 때문에 = 개발 없이도 가능
이는 데이터가 매우 큰 경우에 적합합니다.
지속적인 관리 없이 자동 크기 조정.
SIEM을 선택할 때 고려해야 할 사항
저렴하고 빠르며(예방, 즉각적인 조치, 실시간 로그 수집), 워크로드(데이터 양), 단순함(사용하기 쉬움)입니다.
