19. Lab 3 - 모범사례 기반 보안 구성

Lab 3-1. EC2 보안 구성 설정

Lab 3-2. Config를 통한 리소스 모범사례 점검

Lab 3-3. EC2 IAM 최소 권한 원칙 준수

Lab 3-1, 3-2: EC2 보안 구성 - AWS IMDSv2 설정 혹은 Disable

AWS IMDSv1 -> IDMSv2로 변경시, 해당 IMDSv1를 사용하는 어플리케이션 코드의 수정이 필요합니다.

인스턴스 메타데이터는 실행 중인 인스턴스를 구성 또는 관리하는 데 사용될 수 있는 인스턴스 관련 데이터입니다. 인스턴스 메타데이터는 예를 들어 호스트 이름, 이벤트 및 보안 그룹과 같은 범주 로 분류됩니다.

인스턴스 메타데이터 서비스 버전 1(IMDSv1) – 요청/응답 방법 (GET 요청)

인스턴스 메타데이터 서비스 버전 2(IMDSv2) – 세션 지향 방법 (PUT으로 토큰 요청 후, 해당 토큰을 포함하여 GET 요청)

AWS IMDSv2의 구성에서는 인스턴스 메타 데이터 요청시, 별도의 토근 발급 절차가 추가되어 SSRF 공격을 예방할 수 있습니다.

서비스 내에서 인스턴스 메타데이터를 활용하지 않는다면, 비활성화하는 것도 좋습니다.

Lab 3-1: Amazon E2 Console 설정을 통해 Account Level의 Default 설정을 변경

Lab 3-2: AWS Config를 통해 기존에 배포된 리소스 중 규정 준수 미준수 항목 확인 후 조치

[참고 자료]

신규 EC2 인스턴스에 대해서 IMDSv2 기본설정으로 변경, AWS Blog

Get the full benefits of IMDSv2 and disable IMDSv1 across your AWS infrastructure, AWS Blog

Lab 3-3 EC2 인스턴스에 대한 최소권한 원칙 구성

EC2 인스턴스에 대해서 Admin 권한 대신 최소 권한 원칙을 적용하면, 해당 역할을 사용하는 인스턴스가 악용되는 것을 막을 수 있습니다. 해당 실습에서는 AdminRole로 동작중인 EC2 인스턴스의 권한을 변경합니다.

IMDv2 활성화를 위한 EC2 보안구성에 대해서 살펴봅시다.