[AWS] 보안: GuardDuty / CloudHSM / Shield / SSE / Security Hub

INYEONG KIM·2024년 8월 31일
AWS-SAPaws

AWS SAP 정리노트

목록 보기
5/14
post-thumbnail

AWS GuardDuty

AWS 환경의 보안을 실시간으로 모니터링하고, 다양한 위협을 탐지 솔루션

  • AWS에서 제공하는 위협 탐지 서비스로, AWS 계정 및 워크로드의 보안을 실시간으로 모니터링하고 잠재적인 보안 위협을 탐지하기 위한 목적
  • GuardDuty는 머신 러닝, 이상 징후 탐지, 위협 인텔리전스 피드를 활용하여 비정상적인 활동을 식별 및 경고/보고 제공
  • 기존 AWS 리소스에 영향을 주지 않으면서 동작 (탐지가 주 기능이기 때문)

주요 사용 사례

  • 계정 보안 강화: 계정 탈취, 비정상적인 액세스, 권한 상승 시도 등의 위협을 실시간으로 탐지하여 AWS 계정의 보안을 강화
  • 네트워크 모니터링: VPC 흐름 로그를 분석하여 네트워크 트래픽의 이상 징후 및 잠재적인 보안 위협을 탐지
  • 운영 자동화: GuardDuty의 경고를 활용해 AWS Lambda 등을 통해 자동 대응 작업을 수행하여, 위협에 대한 신속한 대응 가능
  • 규정 준수: 규정 준수 요건에 따라 보안 위협 모니터링을 수행하고, 관련 데이터를 기록하여 규제 요구사항을 충족

AWS CloudHSM

SSL 키가 AWS 환경 외부로 이동하지 않도록 하는 가장 안전한 방법

클라우드 기반의 하드웨어 보안 모듈(HSM) 서비스로, 고객이 암호화 키를 안전하게 생성, 저장 및 관리할 수 있도록 돕는 서비스

  • HSM은 전용 하드웨어 장치로, 암호화 작업을 수행할 때 매우 높은 수준의 보안을 제공
  • 고객이 소유한 SSL 암호화 키를 온프레미스 환경과 유사한 방식으로 클라우드에서 안전하게 관리해야 하는 경우 적합
  • CloudHSM은 특히 보안과 규제 요구사항을 충족해야 하는 환경에서 주로 사용
  • 당연하게도 CloudHSM 역시 AZ에 대한 이중화 가능

CloudHSM은 AWS KMS와 통합 가능

  • 고객은 KMS를 통해 CloudHSM에서 관리하는 키를 사용 O
  • 이를 통해 AWS 서비스에서 HSM의 보안을 활용한 암호화 작업을 간편하게 수행 O

CloudHSM 이랑 일반 HSM은 당연하게도 다른 서비스

  • On-Prem에서 진행하던 HSM을 Cloud에서도 가능하게 AWS에서 제공하는 서비스가 CloudHSM
  • On-Prem HSM을 사용하여 S3버킷 암호화를 위한 CMK 생성 역시 가능하고, 방법은 아래와 같다.
    1. AWS CLI를 사용하여 새 CMK 생성, EXTERNAL을 키의 오리진으로 설정
    2. On-Prem HSM에서 Key 생성
    3. 퍼블릭키를 사용하여 CMK로 가져온 뒤 AWS에서 토큰 발급
    4. 중앙 로깅 버킷에 S3 버킷 정책 적용 + AWS KMS를 암호화 소스로 요구 --> 암호되지 않은 객체는 업로드 거부

AWS Shield Advanced 를 대체하기 (단, DDoS 정도 대응 가능)

예산 부족으로 인해 AWS Shield Advanced를 사용하지 못하는 경우에 대한 예시, DDoS 정도를 방어하는 목적

  1. ALB를 사용하여 많은 백엔드 인스턴스에 트래픽을 분산하여 애플리케이션 과부하 위험 축소
  2. WAF와 ALB를 통합하여 애플리케이션 가용성에 영향을 미칠 수 있는 일반적인 웹 악용으로부터 웹 애플리케이션을 보호
    • (참고) WAF는 UDP 트레픽에 대한 제어 X
      • UDP 제어는 NACL 수준에서 가능
  3. 웹 애플리케이션의 정적 및 동적 콘텐츠 모두에 대해 CloudFront 사용
  4. CloudWatch 알림을 추가하여 높은 CPUUtilization 및 NetworkIn 지표를 활용
    • EC2 인스턴스의 Auto Scaling 트리거
    • 운영팀에 Alert

AWS SSE (Server-Side Encryption)

데이터를 저장하기 전에 서버 측에서 자동으로 암호화하고, 저장된 데이터를 사용자가 요청할 때 자동으로 복호화하는 프로세스

AWS에서 자동으로 암호화 및 복호화를 처리하므로 사용자는 복잡한 암호화 프로세스를 직접 다룰 필요가 없다는 장점이 존재

AWS SSE 종류

암호화를 진행하기 위한 Key의 유형에 따라 차이 존재

  1. SSE-S3
  • S3 버킷에 저장된 객체에 대해 기본적인 암호화 요구사항을 충족시키기 위한 자동 암호화
  1. SSE-KMS
  • AWS KMS에서 관리되고 있는 고객의 CMK(Customer Master Key)로 암호화
  1. SSE-C (Customer-Provided Keys)
  • 사용자가 직접 제공한 암호화 키를 사용하여 데이터를 암호화

SSE 가 적용된 AWS 서비스

  • Amazon S3: 서버 측 암호화를 통해 저장된 데이터를 보호
  • Amazon RDS: RDS 인스턴스의 데이터 저장을 암호화
  • Amazon EBS: EC2 인스턴스의 EBS 볼륨에 저장된 데이터 암호화
  • Amazon SQS: 큐에 전송된 메시지에 대해 서버 측 암호화 적용

AWS Security Hub

AWS 환경의 보안 상태를 중앙에서 관리하고 모니터링할 수 있는 서비스

  • 다양한 AWS 서비스와의 통합을 통해 보안 인사이트를 제공
  • AWS 서비스와 타사 보안 도구를 통합하여 보안 이벤트를 관리하고, 규정 준수 상태를 평가
  • 중앙 대시보드를 통해 보안 상태를 실시간으로 모니터링하고, 잠재적인 위협을 신속하게 감지 및 해결
profile
INYEONG KIM
미래의 저를 위해 작성하는 중입니다 🙆‍♂️
이전 포스트

AWS의 EC2 보안 평가/업데이트: AWS Systems Manager (SSM), Amazon Inspector

다음 포스트

[AWS] DB: RDS / Neptune / AppSync / backup

0개의 댓글