5. SK Shieldus Rookies 19기🤍클라우드기반 취약점 진단 및 대응 실무(GuardDuty, SNS, WAF, Network Firewall )

쟌쥬·2024년 5월 15일

SK shieldus Rookies 19기 취약점 진단 클라우드 클라우드기반 스마트융합보안

클라우드기반 취약점 진단 및 대응 실무

목록 보기

3/6

📌 Amazon GuardDuty

https://aws.amazon.com/ko/guardduty/

Amazon GuardDuty는 AWS에서 제공하는 위협 탐지 서비스로, AWS 계정 및 워크로드에서의 악의적 활동을 모니터링하고, 상세한 보안 조사 결과를 제공하여 가시성 및 해결을 촉진합니다.
이 서비스는 다양한 데이터 소스를 활용하여 악의적 활동을 탐지합니다:
- VPC Flow Logs: 가상 사설 클라우드(VPC) 내에서 발생하는 네트워크 트래픽 로그를 분석하여 악의적인 네트워크 활동을 식별합니다.
- AWS CloudTrail 관리 이벤트 로그: AWS 계정의 관리 작업 로그를 분석하여 권한 상승, 노출된 자격 증명 등의 악의적인 활동을 탐지합니다.
- AWS CloudTrail S3 데이터 이벤트 로그: Amazon S3에서의 데이터 액세스 이벤트를 분석하여 데이터 유출 및 무단 액세스를 감지합니다.
- DNS 쿼리 로그: DNS 서버에서 발생하는 쿼리 로그를 분석하여 악의적인 도메인 및 IP 주소를 탐지합니다.
- Kubernetes(EKS) 감사 로그: Kubernetes 클러스터에서의 감사 로그를 분석하여 컨테이너 환경에서의 악의적인 활동을 식별합니다.
- Elastic Block Storage(EBS) 볼륨 데이터: EBS 볼륨의 데이터를 분석하여 악성 파일 또는 멀웨어를 탐지합니다.
Amazon GuardDuty는 이러한 다양한 데이터 소스를 분석하여 AWS 환경 내에서 예기치 않은, 잠재적으로 무단 및 악의적인 활동을 식별합니다. 권한 상승, 노출된 자격 증명, 악의적인 IP 주소, 멀웨어, 비정상적인 로그인 이벤트 패턴 등을 감지하여 보안 위협으로부터 AWS 환경을 보호합니다.

📌 Amazon SNS(Simple Notification Service)

https://aws.amazon.com/ko/sns/

Amazon SNS는 AWS에서 제공하는 관리형 서비스로, 게시자(또는 생산자)에서 구독자(또는 소비자)로 메시지를 전송하는데 사용됩니다. 간단하게 말하면, 이 서비스는 메시지를 보내고 받는 데 사용됩니다.
게시자는 Amazon SNS를 사용하여 지원되는 다양한 엔드포인트 유형을 통해 메시지를 전송할 수 있습니다. 이 메시지는 논리적 액세스 지점이자 커뮤니케이션 채널인 "주제(Topic)"에 전송됩니다. 이 주제는 여러 구독자가 메시지를 받을 수 있는 곳입니다.
Amazon SNS는 여러 가지 엔드포인트를 지원합니다. 이는 Amazon Kinesis Data Firehose, HTTPS, Amazon Lambda, AWS Simple Queue Service(SQS), SMS, Email, Mobile Push(모바일 푸시 메시지) 등을 포함합니다. 예를 들어, 모바일 앱을 사용하는 사용자에게 푸시 알림을 보내거나, 이메일로 알림을 전송하거나, 서비스 간에 데이터를 전송할 수 있습니다.
간단히 말하면, Amazon SNS를 사용하면 게시자가 메시지를 보내고, 해당 메시지를 받을 구독자를 선택하여 다양한 방법으로 통신할 수 있습니다. 이를 통해 신속하고 유연하게 메시지를 전달하고 처리할 수 있습니다.

🌟 실습: 클라우드 서비스 내 악성 행위를 탐지해서 알림

1) GuardDuty 활성화

(1) 주제 생성

(2) 구독 생성

(3) 이메일 구독 승인

3) EventBridge 규칙을 생성

EventBridge 규칙

AWS에서 발생하는 이벤트를 감시하고, 특정한 조건이 충족되었을 때 어떤 작업을 수행할지 정하는 것.
이벤트란 AWS에서 일어나는 일들을 의미. 예를 들어, 파일이 S3에 업로드되거나, EC2 인스턴스가 시작되는 등의 상황.
규칙을 설정하면, 이벤트가 발생했을 때 시스템이 자동으로 특정한 작업을 수행하도록 할 수 있다. 예를 들어, S3에 파일이 업로드되면 특정 Lambda 함수를 실행하도록 설정할 수 있다. 이벤트에 따라 필요한 작업을 자동으로 처리할 수 있다.

나머지 설정을 그대로 유지하고, 설정 확인 후 규칙을 생성

4) GuardDuty 동작 확인

(1) 샘플 결과 작성

(2) 결과 확인

(3) 이메일 수신 확인

5) 리소스 정리

(1) GuardDuty 비활성화

(2) EventBridge 규칙 삭제

aws sns 리소스 정리시 구독을 먼저 삭제하고 주제를 삭제해야
한다. 잘못 삭제했을 경우 구독이 '삭제됨' 상태로 바뀌는데 3일이
지나면 자동으로 삭제된다.

📌 AWS WAF(Web Application Firewall)

https://aws.amazon.com/ko/waf/

AWS WAF(Web Application Firewall)는 AWS에서 제공하는 웹 어플리케이션 방화벽 서비스입니다. 이 서비스를 사용하면 웹 어플리케이션으로 전달되는 HTTP(S) 요청을 모니터링하고 보호할 수 있습니다. 주로 Amazon CloudFront distribution, Amazon API Gateway Rest API, Application Load Balance, AWS AppSync GraphQL API, Amazon Cognito User pool과 같은 다양한 웹 애플리케이션 리소스를 보호하기 위해 사용됩니다.

WAF를 사용하면 다음과 같은 기능을 제공합니다:

액세스 제어: 요청이 시작된 IP 주소나 쿼리 문자열 값과 같은 기준에 따라 보호 리소스에 대한 액세스를 제어할 수 있습니다. 이를 통해 웹 애플리케이션에 대한 보안을 강화할 수 있으며, 악의적인 트래픽을 필터링하여 차단할 수 있습니다.
→ 요청이 시작된 IP 주소 또는 쿼리 문자열 값과 같이 지정한 기준에 따라 보호 리소스와 연결된 서비스는 요청된 콘텐츠 또는 HTTP 403 Status Code(Forbidden)과 같은 지정된 응답을 제공할 수 있습니다.
규칙 기반 보호: 웹 액세스 제어 목록(ACL)을 생성하고 규칙을 추가하여 보호 전략을 정의할 수 있습니다. 각 규칙은 웹 요청을 검사하고, 일치하는 요청에 대해 지정된 작업을 수행합니다. 예를 들어, SQL 인젝션 공격을 방어하는 규칙을 설정할 수 있습니다.
용량 조정: 웹 ACL의 규칙 용량은 최대 1500이며, 필요한 경우 AWS 지원센터를 통해 추가 용량을 신청할 수 있습니다. 이를 통해 더 많은 보호 규칙을 추가하여 웹 애플리케이션을 보다 강력하게 보호할 수 있습니다. 규칙 유형에 따라 용량을 다르게 계산하므로 용량을 확인이 필요합니다.
→ Managed Rule 규칙 그룹은 대부분 무료이나 Bot Control, Fraud Control account takeover prevention(APT)의 경우 유료이니 예상 금액 확인이 필요합니다.

📌AWS Network Firewall

https://aws.amazon.com/ko/network-firewall

AWS Network Firewall은 AWS에서 제공하는 상태 저장(Stateful) 네트워크 방화벽 및 침입 탐지 및 방지 서비스입니다. 이 서비스를 사용하면 생성한 VPC를 위해 들어오고 나가는 모든 트래픽을 필터링하여 보호할 수 있습니다.

기본적으로 인터넷 게이트웨이, NAT 게이트웨이, VPN, AWS Direct Connect를 통해 들어오고 나가는 트래픽을 VPC 경계에서 필터링합니다. 이를 통해 네트워크의 보안을 강화할 수 있습니다.

규칙 생성: 5-tuple, 도메인, Suricata IPS를 사용하여 규칙을 생성할 수 있습니다. 이를 통해 원하는 규칙을 정의하여 트래픽을 필터링할 수 있습니다.

5-tuple
source ip, destination ip, source port, destination port, protocol

Managed rule groupp: Managed rule group을 무료로 제공하며, 이는 자동으로 업데이트됩니다. 이를 통해 최신 보안 업데이트를 받아서 보호를 유지할 수 있습니다.
배치: Firewall endpoint는 트래픽이 전달되는 서브넷에 위치하며, 이를 위해 라우팅 테이블을 수정하여 트래픽을 Firewall endpoint로 보내야 합니다. IGW와 ELB 사이에 배치하면 클라이언트의 실제 IP 주소를 인식할 수 있습니다.
TLS 복호화 미지원: Network Firewall은 TLS 복호화를 지원하지 않습니다. 따라서 암호화된 트래픽에 대한 검사는 수행할 수 없으며, 이를 위해 WAF의 경우 TLS를 지원하고 있으니 WAF와 같은 다른 서비스를 함께 사용하는 것을 권장합니다.

요약하면, AWS Network Firewall은 VPC의 보안을 강화하기 위한 강력한 도구로, 다양한 기능을 통해 네트워크 트래픽을 보호할 수 있습니다.

비교

1. 목적

AWS Network Firewall :
네트워크 계층에서 보안을 제공하는 방화벽 서비스입니다. 네트워크 트래픽을 모니터링하고 제어하여 악성 트래픽을 차단하고 보호합니다.
AWS WAF :
웹 애플리케이션의 보안을 강화하는 웹 방화벽 서비스입니다. 웹 애플리케이션 레벨에서 발생하는 공격을 탐지하고 차단하여 웹 애플리케이션의 보안을 강화합니다.

2. 적용 범위

AWS Network Firewall :
네트워크 레벨에서 동작하며, VPC(Virtual Private Cloud)의 서브넷 간 및 인터넷과의 트래픽을 관리합니다.
AWS WAF :
웹 애플리케이션 레벨에서 동작하며, HTTP 및 HTTPS 트래픽을 처리하여 웹 애플리케이션의 보안을 제공합니다.

3. 기능

AWS Network Firewall :
패킷 필터링, 상태 추적, IDS/IPS 기능, VPC 흐름 로그 등의 기능을 제공합니다.
AWS WAF :
웹 애플리케이션에서 발생하는 SQL 인젝션, 크로스 사이트 스크립팅(XSS), DDoS 공격 등과 같은 웹 공격을 탐지하고 차단하는 기능을 제공합니다.

4. 사용 사례

AWS Network Firewall :
네트워크 보안 및 대규모의 트래픽 처리가 필요한 경우에 사용됩니다.
AWS WAF :
웹 애플리케이션을 보호하고 웹 공격으로부터 보안을 강화해야 하는 경우에 사용됩니다.

요약하면, AWS Network Firewall은 네트워크 레벨에서의 보안을 제공하고, AWS WAF는 웹 애플리케이션 레벨에서의 보안을 강화합니다. 두 서비스는 각각의 고유한 사용 사례와 환경에 따라 선택되어야 합니다.

🌟 실습: 웹 서비스 환경에 WAF, Network filerwall을 배치

1) 웹 서비스 환경 구성

1) 기본 VPC 생성

2) EC2 인스턴스 생성

80포트 접속을 허용하도록 인바운드 보안 그룹 규칙 추가

나머지 설정을 유지한 상태로 [인스턴스 시작] 버튼을 클릭

3) EC2 인스턴스의 퍼블릭 주소 확인

4) EC2 인스턴스의 퍼블릭 주소로 SSH 접속 후 docker 설치

ubuntu@ip-172-31-3-17:~$ sudo apt update
ubuntu@ip-172-31-3-17:~$ sudo apt install docker.io -y

5) 도커를 이용해서 dvwa(Damn Vulnerable Web Application) 실행

dvwa(Damn Vulnerable Web Application)
웹 애플리케이션 보안을 학습하고 테스트하는 데 사용되는 개발자용 웹 애플리케이션. 다양한 보안 취약점을 가지고 있어서 보안 전문가나 개발자들이 실제로 공격을 시도하고 방어하는 방법을 연습할 수 있다.

ubuntu@ip-172-31-3-17:~$ sudo docker run -d --rm -it -p 80:80 --name dvwa vulnerables/web-dvwa

docker run ⇒ docker container run 명령어와 동일, docker image를 가져와서(pull)와서 컨테이너를 생성(create)하고 실행(start)

-d ⇒ detach 모드로 컨테이너를 실행
--rm ⇒ 컨테이너가 중지(stop)되면 컨테이너를 자동으로 삭제(rm)
-it ⇒ 호스트의 입력과 출력을 컨테이너와 공유
-p 80:80 ⇒ 호스트의 80 포트와 컨테이너의 80 포트를 맵핑
--name dvwa ⇒ 컨테이너 이름. 컨테이너의 식별자로 사용 = 호스트에서 유일해야 함
vulnerables/web-dvwa ⇒ 컨테이너 생성에 사용하는 이미지 이름. 레지스트리/레파지토리/이름:태그 | docker.io/library/이름:latest

👉Unable to find image 'vulnerables/web-dvwa:latest' locally
latest: Pulling from vulnerables/web-dvwa				 
3e17c6eae66c: Pull complete						         
0c57df616dbf: Pull complete						  
eb05d18be401: Pull complete						  
e9968e5981d2: Pull complete						  
2cd72dba8257: Pull complete						 
6cff5f35147f: Pull complete						 
098cffd43466: Pull complete						
b3d64a33242d: Pull complete					
Digest: sha256:dae203fe11646a86937bf04db0079adef295f426d
a68a92b40e3b181f337daa7👈 컨테이너 실행을 위해서는 로컬 레파지토리에 이미지가 존재해야 하며, 없는 경우 지정된 레지스트리에서 먼저 가져와야 함
Status: Downloaded newer image for vulnerables/web-dvwa:latest
5893f97cd90a11ed09c96b677fbb6def607fa8a5ee193cceb7e30315c2f52841 ⇐ 생성한 컨테이너의 ID

ubuntu@ip-172-31-3-17:~$ sudo docker image ls
⇐ 로컬 레포지터리에 이미지를 조회

REPOSITORY             TAG       IMAGE ID       CREATED       SIZE
vulnerables/web-dvwa   latest    ab0d83586b6e   5 years ago   712MB

ubuntu@ip-172-31-3-17:~$ sudo docker container ls
⇐ 실행 상태의 컨테이너를 조회

CONTAINER ID   IMAGE                  COMMAND      CREATED          STATUS          PORTS                               NAMES
5893f97cd90a   vulnerables/web-dvwa   "/main.sh"   24 seconds ago   Up 22 seconds   0.0.0.0:80->80/tcp, :::80->80/tcp   dvwa