AWS 계정 안전하게 지키기

AWS Well-Architected helps cloud architects build a secure, high-performing, resilient, and efficient infrastructure for their applications and workloads. The Security Baseline Workshop aligns to the security pillar of the AWS Well-Architected Framework. The security pillar describes how to take advantage of cloud technologies to protect data, systems, and assets in a way that can improve your security posture. This helps you meet your business and regulatory requirements by following current AWS recommendations.

You can assess your adherence to Well-Architected best practices using the Well-Architected Tool in your AWS account.

Security and compliance are a shared responsibility between AWS and the customer. The shared responsibility model
is often described by saying that AWS is responsible for the security of the cloud (that is, for protecting the infrastructure that runs all the services offered in the AWS Cloud), and you are responsible for the security in the cloud (as determined by the AWS Cloud services that you select). In the shared responsibility model, implementing the security controls in this document is part of your responsibility as a customer.

1. MFA on Root account

슈퍼 권한이 있는 Root Account는 비밀번호는 특히 중요합니다. 사고로 비밀번호가 노출 되더라도 MFA 를 설정해 놓으면 로그인 시 MFA 장치가 없는 경우 최종 로그인이 실패하기 때문에 더 안전하게 AWS 계정을 지킬 수 있습니다.

간혹, 다른 사이트에서 사용하는 계정의 비밀번호와, Root Account의 비밀번호가 동일하게 이용하시다가, 다른 사이트 사용자 계정의 비밀번호가 노출되어 Root Account가 침해되는 사례가 있었습니다.

Action Plan - Protect the Root User 구성 가이드

10분안에 정복하는 안전한 계정 관리를 위한 IAM 모범 사례

2. Amazon S3 Bucket Permissions

공개 액세스 권한이 있거나, Any Authenticated AWS User 에 대한 액세스를 허용하는 S3 버킷을 확인합니다.

공개 액세스 접근으로 노출된 S3는 IAM > Access Analyzer 메뉴에서 확인하시기 바랍니다. 의도되지 않은 경우 권한을 제한 하는 것을 권장합니다.

관리자 권한을 가지고 있지 않은 경우, S3 Bucket 생성, 삭제, 설정 변경 권한을 제한하시기 바랍니다.

Action Plan - Prevent Public Access to Private S3 Buckets 구성 가이드

Action Plan - 공개 액세스 접근으로 노출된 S3 버킷 확인

3. Security Groups - Specific Ports Unrestricted

필요한 IP 주소로만 액세스를 제한하시기 바랍니다.

더 제한적인 규칙을 만든 후에는 지나치게 허용되는 규칙을 삭제해야 합니다. 예를 들어 SSH 액세스 허용을 위한 22 Port라던가, MySQL 3306 Port등은 불특정 다수 (0.0.0.0/0) 에 규칙은 실제 접근이 필요한 IP만 구별하여 설정하시고, 해당 설정은 삭제하시기 바랍니다.

4. CloudTrail

감사 목적으로 Trail 정보를 S3에 저장합니다.

Action Plan - Turn CloudTrail On 구성가이드

5. IAM Password Policy

IAM User의 비밀번호 복잡도를 설정하여, 강력한 비밀번호로 설정할 수 있도록 강제화 할 수 있습니다.

Action Plan - Set a password policy to ensure strong passwords 구성가이드

6. IAM Access key rotation

최근 보안 사고는 해커가 AWA Account 탈취한 후, 몇 개월 동안 꾸준하게 고객의 정보를 수집하여 다각도로 피해를 주는 사례들이 늘어나고 있습니다. 이러한 해킹 사고는 일단 AWS Account가 침해 되더라도 고객이 이를 인지하지 못하는 경우가 있습니다. 주기적 비밀번호 변경 이외에도, IAM Access Key를 주기적으로 만료하고 새로 생성하여 사용하는 것을 권장합니다. 관리가 소홀하여 해당 Access Key와 Secret Access Key가 노출 되었다 하더라도 이러한 관리로 이 키 관련 정보를 무효화할 수 있습니다.

AWS Config를 활용한 Access Key 자동 교환 구성하기

AWS Credential Report 로 AWS Account에서 발행한 전체 Access Key 상태 확인하는 방법

Note, AWS 계정을 파트너사에서 관리하는 경우 관련 설정이 파트너사 별로 다를 수 있으니 이런 경우, 파트너사로 문의하시기 바랍니다.

참고 자료

쉽게 활용 해 볼 수 있는 AWS IAM 모범 사례를 참고하시면 좋습니다.

10분안에 정복하는 안전한 계정 관리를 위한 IAM 모범 사례 (Youtube)

AWS 계정 안전하게 지키기 위해서 꼭 보셔야 하는 문서들입니다.

AWS Perspective Guidance on Baseline Security

AWS 계정 안전하게 지키기 Tip 에 대해서 항목별로 적용하는 방법은 아래 링크를 참고하시기 바랍니다.

Security Baseline - Basic Playbook

워크샵 시작 전 준비사항

Cloud9

리눅스 머신 실행

공유 AMI로부터 가상 머신 시작하기

저장 장치 추가하기

AWS CLI

데이터 다운로드 실습

기본 분석 수행하기 (옵션)

EC2로부터 이미지 (AMI) 생성

EC2 종료와 볼륨 스냅샷 저장 (옵션)

AMI로 쉽게 리눅스 머신 셋업하기

Hail on EC2 (옵션)

Amazon Lightsail for Research

Research and Engineering Studio on AWS

실습용 윈도우 EC2 인스턴스 자동화

Rstudio 실습환경 자동화 구성