brunch

You can make anything
by writing

- C.S.Lewis -

by 클라우드 엔지니어 Nov 03. 2019

176. 계정 보안 확인 리스트

1. root 계정은 사용하지 않는지 확인.

2. 불필요한 AWS   계정이 있는지 점검 후 삭제 확인.

3. MFA는 필수로 설정 확인.

4. 그룹에 맞는 권한인지 확인.

5.  액세스 키는 발급 최소화 확인.

6. 액세스 키는 주기적인  변경 확인.

7. 서버를 접속하는 PEM키의 경우 외부에 노출되지  않도록 관리  확인.

8. ec2-user 등  기본 서버 접속 계정 삭제 확인

9. Saas 서버 서비스의 계정관리와 2차 인증 설정 확인

10. AD와 연계해 퇴사자 발생 시 AWS 계정도 삭제되도록 관리 설정 확인



1. root 계정은 사용하지 않는지 확인.

IAM  > 


1) 루트 액세스 키 삭제하기

2) 루트 계정 MFA 설정하기

3) 일반 계정을 만들어 사용하도록 한다.


root계정 문제시  계정 종료가 되기도 한다.


root만 가능한 작업은 참고

https://docs.aws.amazon.com/ko_kr/general/latest/gr/aws_tasks-that-require-root.html



2. 불필요한 AWS   계정이 있는지 점검 후 삭제 확인.

1) IAM >  사용자에서 점검한다.

계정은 사용자가 누구인지 인지될 수 있도록 해야 한다.

100이나 test 1 계정은 누가 사용하는지 알 수 없다.

삭제하도록 한다.

2) 1인 1 계정을 사용하도록 한다.

공용 계정은 없어야 한다.

3) 장기 휴가자 계정이 있으면 삭제

4) 퇴사자 계정 삭제

5) 외부 계약 종료 업체 계정 삭제




3. MFA는 필수로 설정 확인.

아래 MFA부분에 '활성화되지 않음'은  설정되어 있지 않은 경우다.

MFA를 필수로 설정하자. 

반드시  2차 인증 설정을 하자.

https://brunch.co.kr/@topasvga/95



4. 그룹에 맞는 권한인지 확인.

그룹의  권한을 확인하자.

Admin권한이 할당되어 있으면 회수하자.

DB 생성 권한 등은 최소 인원만 가지도록 설정한다. 

(기존 온프라미스에서는 DB는 DBE만 접속한다.)

직무에 맞는 AWS 정책

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/access_policies_job-functions.html




5.  액세스 키는 발급 최소화 확인.

1) 액세스 키 노출로 인해  보안 문제가 발생할 수 있다.

예)

아래 100 계정은 액세스 키 수명이 없으므로, 액세스 키가 없는 것이다.

아래 test 1 계정은 액세스 키 수명에 오늘이므로, 액세스 키가 있는 것이다. 

사용하지 않으면 해당 계정의  보안 자격증명에서 액세스 키를 삭제한다.


2) 사용자를 인지할 수 있는 일반 계정을 만들어 사용한다.


3) 서비스용 프로그래밍 방식 액세스 키는 별도로 만들어 사용하자.

(AWS API, CLI, SDK 및 기타 개발 도구에 대해  액세스 키 ID  및  비밀 액세스 키 )

일반 사용자 계정 삭제 시 서비스가 안될 수 있으므로, 서비스용 계정은 별도로 생성 관리하도록 한다.





6. 액세스 키는 주기적인  변경 확인.

액세스 키는  외부에 노출될 수 있다.

주기적으로 변경하도록 하자.

2개까지 생성할 수 있으므로 추가로 생성하고 , 기존 액세스 키는 삭제하자.

마지막 활동일 확인 : 30일이 넘지 않도록 한다.

Key수명과 비밀번호 수명 확인 : 60일이 넘지 않도록 한다.


교체 

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey



7. 서버를 접속하는 PEM키의 경우 외부에 노출되지  않도록 관리  확인.


참고 : pem키 분실 시 조치법

https://docs.aws.amazon.com/ko_kr/systems-manager/latest/userguide/automation-ec2reset.html


8. ec2-user 등  기본 서버 접속 계정 삭제 확인

https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/managing-users.html


9. Saas 서버 서비스의 계정관리와 2차 인증 설정 확인


10. AD와 연계해 퇴사자 발생 시 AWS 계정도 삭제되도록 관리 설정 확인


감사합니다.


매거진의 이전글 175. 계정 암호정책 확인

매거진 선택

키워드 선택 0 / 3 0
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari
;