brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Feb 28. 2024

AWS 47탄-9. 보안과 네트워크 신규 -2024-1

<1> 보안 신규 서비스?

<2> 네트워크 신규 서비스?




<1> 보안 신규 서비스?



1

IAM Access Analyzer 업데이트?

최소 권한 부여 원칙 준수를 위한 미사용 접근 권한에 대한 모니터링.

unused access Analyzer라는 기능이 있다. 사용해 보자.  = 액세스키, 암호등 180일(6개월) 초과에 대해 리포팅 제공한다.

단일 계정 가능.

특정 계정을 IAM Access Analyzer 관리계정으로 위임해 사용하는 경우, 조직 전체의 미사용 접근 권한을 분석하는 용도로도 사용 가능하다.

수정 정책에 대해 체크 기능이 생김 = 정책 오른쪽 아래 버튼으로 체크하면 된다.




2

IAM Identity Center 업데이트?

멀티 계정 환경에서 각 계정 및 접속 가능한 애플리케이션에 대한 거버넌스를 수립할 수 있도록 하는 서비스.

각서비스와 토큰으로 각 서비스에 대한 인가를 구현가능하다.


IAM Identity Center를 통한 AWS 분석 서비스 접근 가능.

Amazone QuickSight

Amazon Redshift (Query Editor V2)

Amazon EMR

AWS Lake Formation

Amazon S3 via S3 Access Grants


사용자는 IAM Identity Center를 통해 다양한 AWS 분석 서비스 접근이 가능하다.



3

GuardDuty 업데이트?

탐지 가능한 것들 계속 추가됨!

VPC Flow Log

DNS log

CloudTrail

S3 Data Event

EKS Audit Log

RDS Login Event 

Lambda Flow Log 

Runtime Event  (EKS에 대한)



GuardDuty는 EC2인스턴스에 대해 멀웨어 탐지 기능도 제공함.



시큐리티 로그나 디텍티브로 상세한 분석이 가능하다!!


GuardDuty는 ECS 파게이 트도 탐지 지원하게 되었다.




4

런타임 모니터링을 통한 위협 탐지 개선?


컨테이너 감염 시 확인가능하다. 

호스트 감염까지 가지 않도록 처리된다.


ECS에서 가드 듀티 에이전트가 어떻게 배포되고 동작하는지 확인 : EC2 인스턴스?

수동으로 에이전트 설치해야 한다.



ECS에서 Fargate 런타임 모니터링?

자동으로 에이전트 배포가 가능하다.

AWS가 VPC 엔트포인트를 자동으로 생성한다.



5

Security Hub 업데이트?

대시보드를 제공하고 있다.

Central Configutation을 통해 여러 계정에 적용되는 규정준수 규칙을 중앙에서 설정하고 관리할 수 있습니다.

점검 항목에 대한 파라미터 설정 관리 가능. 조직 전체에 대한 가시성을 확보하는데 도움이 된다.

계정별, 리전별 설정 관리



6

AWS Inspector  개선 3가지?


첫째, Agentless 스캐닝?

System Manager Agent 미설치 인스턴스에 대한 취약점 분석 지원이 된다.

스캔모드를 하이브리도 설정하면 

암호화된 EBS 지원.

Snapshot을 활용하여 스캐닝.



둘째, 생성형 AI 기반 AWS Lambda코드 스캐닝.

인스펙터가 람다 코드에 대한 보안 취약점 확인하면, 어느 부분인지 확인 가능. 생성형 ai가 해결책도 대선 ㅎ준다.



셋째, ci/cd와 인스펙터와 통합이 가능하다?


Plugin을 이용하여 CI/CD 내에서 이미지 스캔?

Jenkins와 TeamCity Plugin지원


직접 개발한 오케스트레이션 환경의 CI/CD 내에서 이미지 스캔?

SBOM기반 스캐닝.




7

Amazon Detective?

위협 분석을 하는 서비스.



첫째, Security Lake와 통합

시큐리티 레이크는 여러 AWS보안 로그를 하나의 계정에서 통합하여 보안 데이터 레이크를 구성할 수 있도록 도와주는 서비스이다.


Amazon Detective와  Amazon Security Lake와 같이 사용하면?

Security Lake에 저장된 보안 로그룰 Detective에서 직접 쿼리 할 수 있게 되었다.

Security Lake 활성화 필요.

로그들이 Detective 형식에 최적화되어 있다.

Security Lake에 저장된 로그를 쿼리하고 검색 가능해진다. 대상은 VPC Flowlog와 Cloud Trail  2개에 대해 Security Lake에 저장되고 있는  Raw데이터를 직접 확인 가능하다.



둘째, 생성형 AI를 이용한 Finding Group 정보 요약?

생성형 AI를 사용하여 Finding Group을 자동으로 분석하고, 보안 조사를 가속화하는데 도움이 되는 요약정보를 제공한다.


세 번째, IAM 엔터디에 대한 분석 및 조사 가능?



8

AWS Config?


첫째, 설정 변경에 대한 기록 주기 설정?

Recorder의 기록 주기를 Daily로 설정 가능.



둘째, 자연어 기반 자동 Query 생성기?


Advanced Query 

Advanced Query에 사용할 Query를 자연어 프롬프트를 통해 생성 후 사용 가능하다.


예)

질문

which load balancers are create after 1st jan,2023?


답변

SELECT

  resourceId,    





<2> 네트워크 신규 서비스?


안정한 통신을 위한 TLS 기능 = AWS 로드밸런서에서 제공해오고 있음.


1

Application Load Balancer - mutual TLS (mtls) 기능지원?

기존 서버뿐만 아니라 클라이언트에서도 인증서 기반의 상호 인증 기능을 제공한다.

Client에 대한 X.509 인증서 기반의 상호 인증 기능을 ALB에서 제공.

고객 정보, 민감 정보에 도움 됨.



2

Application Load Balancer - Automatic Target Weights(ATW) 기능 지원?

Application Load Balancer(ALB)의 새로운 부하 분산 기능.

HTTP응답 상태 코드, 프로토콜상의 errors율을 기반으로 부하 분산율을 자동으로 조절.

타깃 상태에 대해 문제가 있는 서버에 대해 트래픽 양을 줄여줌.



3

Route53 - Applicatin Recovery Controller(ARC)  Zoneal Auto Shift?

ARC에 Zoneal Auto Shift 기능.

가용영역에 대한 잠재적 장애 상황을 탐지.

가용영역(AZ) 장애 판단 시 다른 가용 영역으로 자동으로 서비스 전환.

자동으로 ALB와 NLB의 DNS레코드를 변경함으로 동작한다.

Load Balancer의 Cross-Zone 부하분산 기능 disable 필요.

자동 전환이 된다!!!



4

카이퍼(Kuiper) 프로젝트 - Private connectivity to AWS?

저궤도 위성 인터넷 구축 프로젝트

인터넷 인프라가 취약한 부분에 네트워크 제공.

저 궤도 위성을 통해 AWS와 연결한다.



5

Amazon Q- Network 문제 해결 기능 지원?

VPC Reachability analyzer 기능을 이용하여 네트워크 문제를 대화형 방식을 통해 해결해 주는 AI 서비스.







다음

https://brunch.co.kr/@topasvga/3708




몰아보기

https://brunch.co.kr/@topasvga/3642


감사합니다.  


브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari