by
Feb 07. 2023
28탄-4. AWS 리인벤트-보안
AWS 리인벤트 2023
<1> Amazon Verified Permissions
<2> Amazon Security Lake
<3> AWS Config 신규 기능 - AWS Config Proactive compliance
<4> AWS Organizations - Administrative 계정 위임
<5> Amazon Macie Automated Data Discovery
<6> AWS CloudTrail Lake AWS config 통합
<7> Amazon Inspector의 Lambda 지원
<8> AWS KMS 외부키 저장소 (XKS)
<9> Amazon GuardDuty RDS 보호
<1> Amazon Verified Permissions
1
개발자가 애플리케이션에 직접 적용할 수 있는 권한 관리 및 인가 시스템
2
정책 기반 접근 제어(PBAC)를 통한 동적 인가.
Create InLine Policy
3
정책 및 스키마 관리를 외부에서 인가.
동적/실시간 인가 결정
<2> Amazon Security Lake
1
보안 데이터 Lake
2
자동으로 보안 데이터에 대한 집중화
클라우드, 온프레미스, 서로 다른 리전에 위치한 사용자 정의 보안자원 등에 대해 자동으로 데이터 집중화 구현
3
동작 원리?
AWS 로그 및 50개 이상의 보안 설루션의 탐지 내역
AWS Partnet 보안 설루션
고객의 데이터
Amazon Security Lake
AWS 분석 도구 (Amazon Athena , Amazon OpenSearch, Amazon SageMaker / Partnet분석도구)
<3> AWS Config 신규 기능 - AWS Config Proactive compliance
AWS Config 내용 사전 점검 가능.
자원이 배포되기 전에 AWS Config 규칙을 통해 규정 준수 여부를 선제적으로 검사.
<4> AWS Organizations - Administrative 계정 위임
AWS Organizations에서 관리자 계정 위임이 가능해졌다.
변경 전
Management Account만 SCP , Organizations 설정 가능
변경 후
Admin계정을 위임하여 다른 계정에서도 SCP , Organizations 설정 가능
<5> Amazon Macie Automated Data Discovery
Amazon S3에 저장되어 있는 민감 정보를 한 번의 클릭으로 비용 효율적인 가시성 확보.
<6> AWS CloudTrail Lake AWS config 통합
1
변경 전
AWS CloudTrail 만 CloudTrail Lake에 수집
변경 후
AWS Config도 CloudTrail Lake에 수집
2
AWS Config의 설정 아이템을 CloudTrail Lake에서 가져오기 가능.
<7> Amazon Inspector의 Lambda 지원
1
변경 전
EC2 인스턴스
ECR내에 컨테이너 이미지 취약점 분석
변경 후
Lambda 취약점 분석도 지원함
2
람다 함수에 특정 태그를 지정해 , Inspector 점검의 예외처리도 가능하다.
90일 이상 미실행된 람다 함수에 대해서는 스캐닝 예외처리 된다.
<8> AWS KMS 외부키 저장소 (XKS)
기존의 AWS Custom Key Store기능을 AWS CloudHSM(고객이 관리하는 AWS내의 단일 테넌트 HSM) 이외에 온프레미스에서 사용하는 HSM으로 확장.
