brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Feb 07. 2023

28탄-4. AWS 리인벤트-보안

AWS 리인벤트 2023

<1> Amazon Verified Permissions

<2> Amazon Security Lake

<3> AWS Config  신규 기능 -  AWS Config Proactive compliance

<4> AWS Organizations - Administrative 계정 위임

<5> Amazon Macie Automated Data Discovery

<6> AWS CloudTrail Lake AWS config 통합

<7> Amazon Inspector의 Lambda 지원

<8>  AWS KMS 외부키 저장소 (XKS)

<9> Amazon GuardDuty  RDS 보호




<1> Amazon Verified Permissions


1

개발자가 애플리케이션에 직접 적용할 수 있는 권한 관리 및 인가 시스템


2

정책 기반 접근 제어(PBAC)를 통한 동적 인가.

Create InLine Policy


3

정책 및 스키마 관리를 외부에서 인가.

동적/실시간 인가 결정





<2> Amazon Security Lake


1

보안 데이터 Lake


2

자동으로 보안 데이터에 대한 집중화

클라우드, 온프레미스, 서로 다른 리전에 위치한 사용자 정의 보안자원 등에 대해 자동으로 데이터 집중화 구현


3

동작 원리?

AWS 로그 및 50개 이상의 보안 설루션의 탐지 내역  

AWS Partnet 보안 설루션

고객의 데이터

          

Amazon Security Lake

          

AWS 분석 도구 (Amazon Athena , Amazon OpenSearch, Amazon SageMaker / Partnet분석도구)




<3> AWS Config  신규 기능 -  AWS Config Proactive compliance


AWS Config 내용 사전 점검 가능.

자원이 배포되기 전에 AWS Config 규칙을 통해 규정 준수 여부를 선제적으로 검사.



<4> AWS Organizations - Administrative 계정 위임


AWS Organizations에서 관리자 계정 위임이 가능해졌다.


변경 전

Management Account만 SCP , Organizations 설정 가능


변경 후

Admin계정을 위임하여 다른 계정에서도 SCP , Organizations 설정 가능




<5> Amazon Macie Automated Data Discovery


Amazon S3에 저장되어 있는 민감 정보를 한 번의  클릭으로 비용 효율적인 가시성 확보.




<6> AWS CloudTrail Lake AWS config 통합


1

변경 전

AWS CloudTrail 만  CloudTrail Lake에 수집


변경 후

AWS Config도  CloudTrail Lake에 수집


2

AWS Config의 설정 아이템을  CloudTrail Lake에서 가져오기 가능.




<7> Amazon Inspector의 Lambda 지원


1

변경 전

EC2 인스턴스

ECR내에 컨테이너 이미지 취약점 분석


변경 후

Lambda 취약점 분석도 지원함


2

람다 함수에 특정 태그를 지정해 ,  Inspector 점검의 예외처리도 가능하다.

90일 이상 미실행된 람다 함수에 대해서는 스캐닝 예외처리 된다.




<8>  AWS KMS 외부키 저장소 (XKS)


기존의 AWS Custom Key Store기능을 AWS CloudHSM(고객이 관리하는 AWS내의 단일 테넌트 HSM) 이외에 온프레미스에서 사용하는 HSM으로 확장.



<9> Amazon GuardDuty  RDS 보호


동작 원리?

VPC Flow logs            

DNS logs

CloudTrail Events

S3 data plane events

EKS audit logs  

Amazon Aurora login Events  (추가됨)

    

보안 분석

    

    

보안 위협 탐지




다음은 데이터 베이스


https://brunch.co.kr/@topasvga/3009


감사합니다.


브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari