brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Jul 25. 2020

421.  AWS 보안 기본 점검

실습

<1>  IAM 권한 확인

<2> EC2 보안 그룹 확인

<3>  VPC 보안 설정 확인

<4>  CloudWatch 메트릭과 알람 확인

<5> CloudTrail 로그 확인하기



<1>  IAM 권한 확인

1

IAM >  사용자 > 보안 자격 증명 >  access-key 확인

일반 사용자 계정에는   Access-Key를  할당하지 않도록 한다.

Access-Key는 주기적으로 변경해야 하고, 최소 발급이 원칙이다.

별도로  Access-Key 계정을 만드는 것을  추천한다.

사용자 계정은 변경되거나 팀 이동을 할 수 있다.


2

MFA 설정 하자

할당된  MFA  디바이스 >  할당되지 않음으로 되어 있으면   관리 눌러  MFA를 설정하도록 하자.

가상  MFA  디바이스를 생성한다.


3

모든 사용자 계정은 그룹에 있어야 한다.

그룹에 사용자를 넣고  권한 관리한다.

보안 점검 프로그램에서 그룹으로 되어 있지 않으면 관리 이슈로 체크 된다.



<2> EC2 보안 그룹 확인


1

EC2  > 보안 그룹 > 유입 규칙 확인


2

변경전 문제점 - Any허용이 문제

TCP 22에 대해 외부  ANY에서 허용

TCP 3389 에 대해 외부  ANY에서 허용


변경 후

사내 ip에서만 접속 가능하거나, 내부 접근시스템에서만 접근하도록 변경


3

웹서버  보안그룹 

외부  소스 0.0.0.0/0에서  포트 80과 443 은 허용한다.   :  HTTP , https로 접속을 허용하는 것이다.

Windows 원격접속 RDP는 소스가  베스천 보안 그룹 ,  포트 TCP 3389만 허용한다.


4

SQL 보안 그룹은

소스 web 보안 그룹에서  tcp 1433 mssql만 허용한다.

소스 베스천에서   TCP  3389 (RDP)는  허용한다.




<3>  VPC 보안 설정 확인


1

서비스 >  EC2  > 인스턴스 > 웹서버 클릭 >   VPC ID 확인

vpc-039d101b134cc650b


2

서비스 >  VPC  >  네트워크  ACL   있는지 확인

NACL  확인




<4>  CloudWatch 메트릭과 알람 확인


1

 CloudWatch  > 지표  > EC2 클릭 >

알람


서비스 <   EC2  >  볼륨   EBS  확인하기 > 모니터링 탭  >

CPUUtilization

확인


2

EC2 > 볼륨 >   볼륨 클릭  >   모니터링 탭  확인






<5> CloudTrail 로그 확인하기


서비스 > CloudTrail   >  인사이트   >   S3 버킷 클릭 >   AWSLogs  클릭 >  AWSLogs 내용 확인하기




감사합니다.

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari