SEC 6: 컴퓨팅 리소스를 어떻게 보호 하시나요?

워크로드의 컴퓨팅 리소스는 다계층 방어를 통해 내/외부 위협으로부터 보호해야 합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다.

리소스

Securing Serverless and Container Services
Running high-security workloads on Amazon EKS
Security best practices for the Amazon EC2 instance metadata service
AWS Systems Manager
Replacing a Bastion Host with Amazon EC2 Systems Manager
Security Overview of AWS Lambda
Lab: Automated Deployment of Web Application Firewall

모범 사례:

개선 계획

취약성 관리 수행

  • Amazon Inspector 구성: Amazon Inspector는 Amazon EC2 인스턴스의 네트워크 액세스 기능과 해당 인스턴스에서 실행되는 애플리케이션의 보안 상태를 테스트합니다. Amazon Inspector는 애플리케이션의 노출 정도, 취약성 및 모범 사례와의 차이를 평가합니다.
    What is Amazon Inspector?
  • 소스 코드 스캔: 라이브러리 및 종속성을 스캔하여 취약성을 검사합니다.
    Amazon CodeGuru
    OWASP: Source Code Analysis Tools
  • 공격 대상 영역 축소

  • 운영 체제 강화: 모범 사례에 맞춰 운영 체제를 구성합니다.
    Securing Amazon Linux
    Securing Microsoft Windows Server
  • 컨테이너식 리소스 강화: 보안 모범 사례에 맞춰 컨테이너식 리소스를 구성합니다.
  • AWS Lambda 모범 사례: AWS Lambda의 모범 사례 구현
    AWS Lambda best practices
  • 관리형 서비스 구현

  • 사용 가능한 서비스 탐색: Amazon RDS, AWS Lambda, Amazon ECS 등 리소스를 관리하는 서비스를 탐색, 테스트 및 구현합니다.
    AWS Home
  • 컴퓨팅 보호 자동화

  • 구성 관리 자동화: 구성 관리 서비스 또는 도구를 사용하여 보안 구성을 자동으로 적용하고 확인합니다.
    AWS Systems Manager
    AWS CloudFormation
    Lab: Automated deployment of VPC
    Lab: Automated deployment of EC2 web application
  • EC2 인스턴스의 패치 적용 자동화: AWS Systems Manager Patch Manager는 보안 관련 업데이트와 기타 유형의 업데이트를 모두 사용하여 관리형 인스턴스를 패치하는 프로세스를 자동화합니다. Patch Manager를 사용하여 운영 체제와 애플리케이션 모두에 패치를 적용할 수 있습니다.
    AWS Systems Manager Patch Manager
    Centralized multi-account and multi-region patching with AWS Systems Manager Automation
  • 침입 감지 및 차단 도구 구현: 침입 감지 및 차단 도구를 구현하여 인스턴스에서 악의적인 활동을 모니터링하고 중지합니다.
  • APN 파트너 솔루션 고려: APN 파트너는 고객 온프레미스 환경의 기존 제어 솔루션과 동등한 수준이거나, 동일하거나 통합된 업계 최고 수준의 수백 가지 제품을 제공합니다. 이러한 제품은 기존 AWS 서비스를 보완하여 클라우드 및 온프레미스 환경에 포괄적인 보안 아키텍처와 보다 원활한 환경을 배포할 수 있도록 해줍니다.
    Infrastructure security
  • 사용자가 원격으로 작업을 수행할 수 있도록 지원

  • 콘솔 액세스 교체: AWS Systems Manager Run Command로 인스턴스에 대한 콘솔 액세스(SSH 또는 RDP)를 교체하여 관리 태스크를 자동화합니다.
    AWS Systems Manager Run Command
  • 소프트웨어 무결성 검증

  • 메커니즘 조사: 코드 서명은 소프트웨어 무결성을 검증하는 데 사용할 수 있는 메커니즘입니다.
    NIST: Security Considerations for Code Signing