AWS 악의적인 IP 차단 자동화

Daniel_Yang·2023년 8월 4일

aws 보안

진행 과정

grandDuty 활성화
- 악의적인 ip 목록 txt로 배정 링크
but 안 통하는듯....
ip 목록 활용시 IAM 역할을 부여해줘야한다는데..
lambda 함수 생성
- 우테코 것을 복붙했으나 변수 할당할 게 너무 많았다....
cloudwatch event(aws eventbridge) 생성 및 lambda 연결
- grandDuty findings severity에 따라 규칙 설정

도입 배경

ㅇㅇ

필요한 과정

악의적인 IP임을 구별해야한다.
- AWS CloudFront: 로그 확인시 같은 IP 에서 분당 수백/천 요청이 들어오는 것을 확인
그리고 이 IP를 차단 목록에 저장해야한다.
차단 목록에 있는 IP들을 계속 차단해야한다.
- AWS WAF 웹 방화벽에서 공격성 IP를 자동으로 차단
혹시나 하는 마음으로 차단 목록 IP들을 관리할 수 있어야한다.

출처: https://urbanbase.github.io/dev/2020/11/01/Amazon-GuardDuty.html

사용할 기술

위협 감지 : aws cloudwatch, aws guardduty
이벤트 발생 시 처리 : aws lambda
차단 담당 : Network ACL(NACL)
위협 IP 목록(Threat IP List) : aws s3, DynamoDB

플로우

GuardDuty가 위협 탐지
위협 탐지 이벤트 -> 설정되어있는 CloudWatch Event의 규칙에서 이벤트 발생
규칙 이벤트에 연결된 차단용 Lambda 함수 동작
- 이때, Slack이나 이메일 등으로 경고 메시지 발송
Lambda에서 Event 정보에 따라 NACL에 Inbound Deny Rule 삽입
차단 후 s3나 DynamoDB 같은 곳에 IP 등 관련 정보나 로그 저장
일정시간이 지나면 자동적으로 해제용 Lambda 호출해서 해제하게한다.
관리자는 경고 메시지로 GuardDuty의 Black-list에 등록할지, White-list에 등록할지 분석하고 처리한다.

준비 과정

GuardDuty 설정
CloudWatch Event 규칙 설정
Lambda 함수 설정

비용

aws guardduty 링크
- 무료평가판 30일 제공
- 기본 위협 탐지 요금
- 선택적 보호 플랜

AWS GuardDuty

Amazon GuardDuty는 AWS 환경에서 보안 위반을 나타낼 수 있는 악의적인 또는 무단 행동을 감지하는 데 훌륭한 옵션입니다. GuardDuty는 의심스러운 활동과 무단 행동을 지속적으로 모니터링하여 가능한 계정 침해를 나타내는 특이한 API 호출이나 잠재적으로 무단 배포 등을 감지합니다.

암호화폐 채굴
자격증명 유출 활동
이전에 사용하지 않던 지역에서의 인프라 배포
사용자에게 특이한 인스턴스 유형 등의 잠재적으로 해로운 활동을 감지하고 알려줄 수 있습니다.

주의사항: 보안 전략의 일부일 뿐이다. 위협 감지 but 반드시 방지는 x

특정 IP를 EC2 인스턴스에서 차단하려는 경우,
1. GuardDuty를 AWS WAF (웹 애플리케이션 방화벽)와 결합하여 특정 IP의 트래픽을 차단하도록 고려해보세요.
2. 또는 DDoS 보호가 필요한 경우 AWS Shield를 사용할 수 있습니다. AWS Network Firewall은 VPC 레벨에서 더 세밀하고 상태를 유지하는 방화벽 제어를 원하는 경우 다른 해결책이 될 수 있습니다.

AWS 자격증명이 침해된 경우 잠재적인 피해를 줄이기 위해 EC2 보안 그룹 설정을 정기적으로 검토하고 업데이트하고, IAM 사용자와 역할에 대해 최소 권한 정책을 사용해야 함을 기억하세요.