by
Nov 03. 2019
177. (ISMS-P)네트워크 보안 확인 리스트
<1> 개발용 AWS 계정과 서비스용 AWS 계정으로 분리 확인.
<2> 기본적으로 3 계층 네트워크로 구축 확인.
<3> Security Group에서 유입 트래픽이 Any로 허용되지 있는지 확인.
<4> Outboud Traffic 제어하는지 확인
<5> 사용자는 ELB를 통해 EC2에 접속 하는지 확인.
<6> EIP를 서버에 매칭 해서 사용하는 경우는 최소화 확인.
<7> AWS 웹 콘솔로 접속하는 IP를 제한하여 접속하는지 확인.
<8> Lambda구축시 VPC안에 구축 되어 있는지 확인.
<1> 개발용 AWS 계정과 서비스용 AWS 계정으로 분리 확인.
보안상 개발 계정과 서비스 계정을 분리한다.
장점
개발망과 서비스망이 원천적으로 분리 운영이 된다.
단점
리소스가 늘어나서 비용이 증가한다.
VPC는 비용이 없으나 NATGW는 각각 비용이 발생함.
서포트레벨에 따는 비용증가. Basic -> Business로 각각 변경시 비용발생
<2> 기본적으로 3 계층 네트워크로 구축 확인.
Public , Private , DB 서브넷으로 구축하자.
DB 서브넷은 외부와 통신되지 않도록 한다.
https://brunch.co.kr/@topasvga/393
<3> Security Group에서 유입 트래픽이 Any로 허용되지 있는지 확인.
1) 외부 0.0.0.0/0에서 서버로 직접 접속되지 않도록 한다.
2) 외부로 나가는 트래픽도 Any로 허용되지 않도록 한다.
Trusted Advisor로 점검 가능하다.
https://brunch.co.kr/@topasvga/631
<4> Outbound Traffic 제어하는지 확인
Outbond 트래픽이 모두 허용되어 있으면 겸함 사항이다.
특정 IP 나 포트로만 나가도록 허용해야 한다.
SecurityGroup 또는 Networl ACL 2가지로 제어 가능하다.
<5> 사용자는 ELB를 통해 EC2에 접속 하는지 확인.
가능하다면 EC2는 모두 사설 IP로만 사용하자.
https://brunch.co.kr/@topasvga/745
<6> EIP를 서버에 매칭 해서 사용하는 경우는 최소화 확인.
<7> AWS 웹 콘솔로 접속하는 IP를 제한하여 접속하는지 확인.
https://brunch.co.kr/@topasvga/683
<8> Lambda구축시 VPC안에 구축 되어 있는지 확인.
VPC안에 있어야 보안그룹으로 사용할수 있다.
보안 이슈시 VPC Flow-log 사용 할수 있다.
