AWS Config

박건희·2022년 9월 20일
0
post-thumbnail

Config를 사용하여 리소스의 보안 설정들에 대해서 모니터링하고자 한다.

1. Config 사용 이유

왜 Config를 사용하고자 하는가?

보안에 있어서 관제는 가장 중요한 요소 중 하나이다. 왜냐하면 설정과
Config는 보안에 관련된 설정들이 제대로 지켜지고 있는지 모니터링 해주는 서비스이다.
이를 통해 보안사고가 발생하지 않도록 미리 보안 규정을 잘 지키고 있는지 모니터링할 필요가 있기 떄문에
AWS Config 서비스를 사용한다.

2. Config 사용법

우선 시작하기를 누른다.

일반 설정에서는 2가지를 선택할 수 있다.
모든 리소스 유형과 특정 리소스 유형을 선택할 수 있으나,
현재로서는 특정 리소스보다는 모든 리소스에 대해 기록하여 전반적으로 모든 리소스에 대해 기록을
남겨서 더 넓게 리소스들을 모니터링하고자 한다.

전송방법에서는 버킷을 새로 생성하여 해당 버킷 안에 리소스 유형의 기록을 저장하고자 한다.
버킷의 이름을 aws-config로 하고 SNS주제를 생성하여 필요시 구독된 이메일로 알림 메세지로 보내고자 한다.

사용하고자 하는 Config Rules 설명

  • aurora-mysql-backtracking-enabled 설명 해석
    :Amazon Aurora MySQL 클러스터에 역추적이 활성화되어 있는지 확인합니다. Aurora 클러스터가 MySQL을 사용하고 역추적을 활성화하지 않은 경우 이 규칙은 NON_COMPLIANT입니다.

클러스터 역추적이란?
:Amazon Aurora MySQL 호환 버전에서는 백업에서 데이터를 복구하지 않고도 특정 시간으로 DB 클러스터를 되감을 수 있습니다.

  • rds-cluster-multi-az-enabled 설명 해석
    : Amazon Relational Database Service(Amazon RDS)에서 관리하는 Amazon Aurora 및 Hermes 클러스터에서 다중 AZ 복제가 활성화되어 있는지 확인합니다. Amazon RDS 인스턴스가 다중 AZ로 구성되지 않은 경우 이 규칙은 NON_COMPLIANT입니다.

  • alb-waf-enabled 설명 해석
    : ALB(Application Load Balancer)에서 웹 애플리케이션 방화벽(WAF)이 활성화되어 있는지 확인합니다. key: waf.enabled가 false로 설정된 경우 이 규칙은 NON_COMPLIANT입니다.

  • db-instance-backup-enabled 설명 해석
    : RDS DB 인스턴스에 백업이 활성화되어 있는지 확인합니다.

  • codepipeline-deployment-count-check 설명 해석
    : AWS Codepipeline의 첫 번째 배포 단계에서 둘 이상의 배포를 수행하는지 확인합니다. 선택적으로 나머지 각 후속 단계가 지정된 배포 수(deploymentLimit) 이상에 배포되는지 확인합니다.

  • eks-secrets-encrypted 설명 해석
    : Amazon Elastic Kubernetes Service 클러스터가 AWS Key Management Service(KMS) 키를 사용하여 Kubernetes 비밀을 암호화하도록 구성되어 있는지 확인합니다. EKS 클러스터에 encryptionConfig가 없는 경우 이 규칙은 NON_COMPLIANT입니다.

  • eks-endpoint-no-public-access 설명 해석
    : Amazon Elastic Kubernetes Service(Amazon EKS) 엔드포인트에 공개적으로 액세스할 수 없는지 확인합니다. 끝점에 공개적으로 액세스할 수 있는 경우 규칙은 NON_COMPLIANT입니다.

  • elasticache-redis-cluster-automatic-backup-check 설명 해석
    : Redis 클러스터에 대한 SnapshotRetentionLimit가 SnapshotRetentionPeriod 매개변수보다 작은 경우(즉, 기본값이 15이므로 0에서 15 사이인 경우) 규칙은 NON_COMPLIANT입니다.

설정할 수 있는 최대 기간
보유 할 수 있는 기간

설정할 수 있는 최대 기간 보다 보유 할 수 있는 기간이 작은 경우, 규칙은 NON_COMPLIANT이다.

SnapshotRetentionLimit의 최대기간은 15일이다.
SnapshotRetentionPeriod는 정할 수 있다.

config가 생성되는것을 확인할 수 있다.

profile
박건희
hihihi
이전 포스트

waf 검증을 위한 ddos툴 사용

다음 포스트

aws 패킷 미러링

0개의 댓글