AWS Inspector는 AWS 리소스의 보안 위험을 모니터링하는 강력하고 복잡한 도구입니다. 하지만 작은 조치라도 큰 변화를 가져올 수 있습니다. AWS Config와 결합하면 규정 준수와 지속 가능성이 더욱 강화됩니다.이 문서에서는 AWS Inspector와 AWS Config를 사용하여 AWS 리소스의 보안과 규정 준수를 보장하는 방법에 대한 영감을 제공합니다.
고객 프로젝트를 진행하는 동안 고객 환경에서 베스천 호스트를 보호하는 주제가 등장했습니다. 가장 안전한 보루 호스트는 존재하지 않지만, 세션 관리자를 사용할 수 없고 보루 호스트 없이는 대처할 수 없다면 몇 가지 보안 조치를 취해야 합니다. 가장 확실한 방법은 강화된 이미지를 사용하여 보안을 강화하고, 요새 호스트가 연결된 보안 그룹을 강화하여 실제로 필요한 포트만 허용하는 것입니다.
그러나 오랫동안 실행되어 온 인스턴스에는 변경 사항이 있을 수 있으며, 새로운 보안 취약점이 발견되었을 수도 있습니다. 많은 사람들이 사용하는 경우 보안 그룹 및/또는 인스턴스 자체에 제한된 IP/포트가 열려 있을 가능성이 높습니다. 가끔 사람들이 이와 같은 변경 사항을 취소하는 것을 잊어버리는 경우가 있습니다.
AWS 구성
후자의 경우 AWS Config를 사용하면 AWS 리소스의 구성을 평가, 감사 및 검토할 수 있습니다. 여기에 설명된 사례에서 보안 그룹은 예시 베스천 호스트에 대한 액세스를 제어합니다. AWS Config 검사가 완료되면 규칙을 위반하는 모든 변경 사항은 SNS 주제로 전달됩니다. 이를 통해 변화에 신속하게 대응할 수 있는 기회가 제공됩니다. AWS Config 가격은 기록된 항목 수(0.003 USD)와 규칙 평가 수(0.001 USD)를 기준으로 책정됩니다.
AWS 인스펙터
또 다른 평가 각도는 EC2 인스턴스 자체에 대한 AWS Inspector입니다. AWS Inspector는 EC2 인스턴스에서 직접 보안 검사를 수행하고 배포된 애플리케이션의 보안과 규정 준수를 개선합니다.
AWS Inspector 에이전트가 장착된 인스턴스는 시스템에서 평가할 수 있는 다양한 시스템별 검사를 제공합니다. 하지만 시스템에 사용 가능한 에이전트가 없더라도 AWS Inspector는 외부에서 인스턴스의 도달 가능성을 확인할 수 있으며, 이는 예를 들어 배스천 호스트가 관련 네트워크의 일부일 때 확인하기에 충분합니다. 이를 평가 일정 및 알림 자동화 개념과 결합하면 간단하면서도 강력한 보안 위험 경고가 될 수 있습니다.
주목해야 할 AWS Inspector 기능:
- AWS Inspector 평가는 별도의 AWS 관리 계정에서 실행됩니다. Terraform이나 CloudFormation을 사용하여 각 지역에 대해 별도의 Inspector 평가 코드를 작성할 때 이 점을 명심하세요. 여기에 나열된 규칙에 따라 처리되어야 합니다.
- AWS Inspector는 Cloudwatch 이벤트 규칙을 트리거할 수 없습니다. Inspector가 이벤트에 반응할 수 있는 유일한 방법은 SNS(Inspector에서 지원)를 알림 대상으로 사용하고(예를 들어) "에 응답하는 것입니다.완료까지 실행"이벤트를 통해 결과를 추가로 처리하고 보고서를 이메일 수신자에게 전달하거나 S3 버킷에 저장하여 다운로드할 수 있습니다. AWS Inspector는 평가 템플릿에서 정의할 수 있는 네 가지 이벤트 유형을 지원합니다.실행이 시작되었습니다","운영 상태가 변경되었습니다","Discovery가 보고되었습니다"그리고"실행 완료”.
- 보고서를 다운로드하려면 여기를 클릭하세요.AWS Management Console에서 모든 스캔 결과를 검색합니다. 콘솔은 선택한 세부 정보 수준에 따라 다운로드 링크가 포함된 PDF를 생성합니다. 이러한 링크는 일시적이므로 알림 대상에게만 링크를 이메일로 보내세요(예: 수신자가 보고서가 제공될 때만 다운로드할 수 있도록 허용하는 경우). 더 나은 해결책은 파일을 다운로드하여 S3에 저장하거나 이메일 첨부 파일로 보내는 것입니다. 예를 들어, Python 람다 함수를 boto3와 함께 사용하면 이 모든 작업을 수행할 수 있습니다. 이는 SNS를 통해 검사관이 보낸 이벤트의 모든 세부 정보를 가져옵니다.
- 이벤트의 Inspector Run ID 사용 → 평가 실행 설명
- 실행 세부 정보에서 assessment_template_arn을 가져옵니다.
- 전체 속성 목록
- 인프라를 코드로 사용하는 경우 AWS 관리 콘솔을 사용할 때 선언되지 않은 마법 같은 기능을 많이 접했을 가능성이 높습니다. 올바른 리소스 액세스 권한을 부여해야 합니다. 예를 들어, Inspector 이벤트를 수신하는 SNS 주제는 "inspector.amazonaws.com"에서 "서비스" 주체 유형을 허용해야 합니다. 이는 콘솔 편집의 평가를 코드로 재현하려고 할 때 놓칠 수 있는 사항일 것입니다.
물론, 콘솔에서 수동으로 검색할 수 있는 새 보고서에 대한 알림만 받으려는 경우 필터링 및 보고서 생성에 람다를 사용할 필요는 없습니다. SNS 주제에 필요한 구독만 제공하세요. 필요한 유일한 이벤트 유형은 "실행 완료" 이벤트 유형입니다. 모든 이벤트를 보고하면 많은 수의 알림이 생성됩니다. 설명된 두 가지 경우(람다를 사용한 필터링 및 보고서 생성, 람다를 사용하지 않은 보고서 생성) 모두에서 이것이 유일하게 흥미로운 경우입니다.
AWS Inspector 가격은 평가 실행 횟수와 세부 정보에 따라 달라집니다. 이 기사에서 소개한 시나리오에 맞는 네트워크 접근성 검사 비용은 0.15달러이며, 하루에 한 번씩 실행한다면 한 달에 총 4.50달러가 됩니다.
결론적으로:
보안에 영향을 줄 수 있는 변경 사항을 막을 수는 없지만, 변경 사항이 발생하면 알림을 보내 대응할 수 있도록 해줍니다.
위의 두 서비스는 모두 여기에 제시된 시나리오를 만족시킬 수 있습니다. 어떤 서비스를 선택할지는 주변 환경 요인과 달성하고자 하는 궁극적인 목표에 따라 크게 달라집니다. 이 한 가지 측면만 다루고 싶다면, 예정된 검사관 평가를 이용하면 가장 큰 유연성과 통제력을 얻을 수 있습니다. 여기서 논의된 AWS 서비스 세트는 필요에 따라 결합하여 더 많은 시나리오를 처리할 수 있습니다. AWS Inspector는 인스턴스별로 적용되며 결함과 위반 사항을 사전에 검사합니다. AWS Config는 면밀히 제어하려는 모든 리소스를 기록하고 변경 사항 및 규정 위반에 대한 알림을 제공합니다. 많은 경우, 두 가지를 결합하는 것이 좋은 선택이 될 것입니다.
