AWS Detective 는 ?
잠재적 보안 문제의 근본 원인을 빠르게 식별하도록 보안 데이터 분석 및 시각화
<1> AWS Detective 특징
<2> 실습
https://aws.amazon.com/ko/detective/
https://aws.amazon.com/ko/detective/faqs/
<1> AWS Detective 특징
1.
혼자 동작하지 못한다.
2
새로운 유형의 탐지는 아니다.
기존것 탐지
3
각종 그래프와 사용한다.
가시화가 중요하다.
수집
하나라도 활성화 하지 못하면
가드 듀티 48시간 지나야
2주 지나야 정상 동작한다.
4
자체 dns등 사용하면 진행이 안된다.
5
결과를 조사하는 서비스 이다.
6
각각의 탐지 결과를 정탐인지 먼저 조사한다.
7
디텍티브
시각화 기능
지도 그래프를 보자
사용자가 사용하던곳
안 사용하던곳에 시각화하면 알수 있다.
디텍티브 검색 해보자. 지도 보자.
8
순서.
2가지 서비스로 조치하는지 소개
40개로 제한된 nacl 보다 3파트 사용하는것도 좋다.
low로 표시되어도 침해 문제가 클수 있다.
9
finding
10
cloudfomation으로 부터 원복
시큐리티 그룹 조치
스냅셧으로 부터 복구
Ec2 취약점
같은 수법의 finding으로 당한다.
조치법 ?
시큐리티 그룹을 막는것이 우선
인스펙터로 라이블러리나 취약점 확인후 조치하라.
11
s3 보안 ?
클라우드 와치와 람다로 감시
클라우드 포메인션으로 복구
앤드포인트 적용
암호화 하는
customer ,HSM
서버 사이트 인크립션은 필수
평문으로 관리되도록 하지는 마라. - 테스트 필요.
해결
kms 사용 중앙화, 교체 주기
12
IAM 보안 조치 ?
cloud watch 와 람다로 자동 차단은 헤야 한다.
임시 크리댄셜로 바뀌라.
다이렉트, vpn으로 변경하는것도 고려하라. 하이브리드 구성으로 변경
role 과 임시 크리댄셜로 관리하자.
iam 유저를 ip대역으로 통제하라
iam role 을 만들어 적용.
예방단계는 아니다.
예방은 사전 점검 파트 권장한다.
침입을 숨기기위해 내 클라우드 리소스 모두를 해커가 삭제한다.
내 서비스 차단 된다.
<2> 실습
감사합니다.