by
Nov 03. 2019
11탄-5. ISMS-AWS-보안그룹,네트워크
<1> Security Group별 기본 정책 여부 확인 = 있다면 지침 존재 확인(필수)
<2> Security Group에서 유입 트래픽이 Any로 허용되지 있는지 확인.(필수)
<3> Outboud Traffic 제어하는지 확인
<4> 사용자는 ELB를 통해 EC2에 접속 하는지 확인.
<5> 개발용 AWS 계정과 서비스용 AWS 계정으로 분리 확인. (선택, 회사 정책)
<6> 기본적으로 3 계층 네트워크로 구축 확인.
<7> AWS 웹 콘솔로 접속하는 IP를 제한하여 접속하는지 확인.(필수)
<8> Lambda구축시 VPC안에 구축 되어 있는지 확인(필수아님)
<9> NACL 체크(필수)
<10> 불필요한 ACM체크(필수)
<20> 같이 볼만한 자료 - ISMS-P체크 리스트
<1> Security Group별 기본 정책 여부 확인 = 있다면 지침 존재 확인
기본 정책이 지침서에 반영이 되어 있는지 확인한다.
보안 적용시 정책 프로세스가 있는가? 시스템으로 신청하는가?
프로세스에 따라 관리자 승인이 있는지 확인한다.
보안 그룹에 대해 주기적으로 검토를 하고 있는지?
<2> Security Group에서 유입 트래픽이 Any로 허용되지 있는지 확인.
1) 외부 0.0.0.0/0에서 서버로 직접 접속되지 않도록 한다.
2) 외부로 나가는 트래픽도 Any로 허용되지 않도록 한다.
Trusted Advisor로 점검 가능하다.
https://brunch.co.kr/@topasvga/631
<3> Outbound Traffic 제어하는지 확인
Outbond 트래픽이 모두 허용되어 있으면 겸함 사항이다.
특정 IP 나 포트로만 나가도록 허용해야 한다.
SecurityGroup 또는 Networl ACL 2가지로 제어 가능하다.
<4> 사용자는 ELB를 통해 EC2에 접속 하는지 확인.
가능하다면 EC2는 모두 사설 IP로만 사용하자.
https://brunch.co.kr/@topasvga/745
서버는 Public망에 존재 하지 않도록 한다.
EIP를 서버에 매칭 해서 사용하는 경우는 최소화 확인.
<5> 개발용 AWS 계정과 서비스용 AWS 계정으로 분리 확인. (선택, 회사 정책)
보안상 개발 계정과 서비스 계정을 분리한다.
장점
개발망과 서비스망이 원천적으로 분리 운영이 된다.
단점
VPC는 비용이 없으나 NAT GW는 각각 비용이 발생함.
서포트레벨에 따는 비용증가.
Basic -> Business로 각각 변경시 비용발생
<6> 기본적으로 3 계층 네트워크로 구축 확인.
Public , Private , DB 서브넷으로 구축하자.
DB 서브넷은 외부와 통신되지 않도록 한다.
https://brunch.co.kr/@topasvga/393
<7> AWS 웹 콘솔로 접속하는 IP를 제한하여 접속하는지 확인.
https://brunch.co.kr/@topasvga/683
<8> Lambda구축시 VPC안에 구축 되어 있는지 확인.
VPC안에 있어야 보안그룹으로 사용할수 있다.
보안 이슈시 VPC Flow-log 사용 할수 있다.
<9> NACL 체크
불필요한 네이트워 대역 및 포트 허용하는지 체크
정책 추가시 프로세스가 존재확인 = 시스템으로 신청받아 하고 있는가?
설정 정책에 대해 검토하는지 확인 = 시스템으로 받아 검토 되고 있는가?
<10> 불필요한 ACM체크
인증서 현황 확인
불필요한 인증서 존재하는지 확인
인증서 교체 주기 확인
다음
https://brunch.co.kr/@topasvga/3593
<20> 같이 볼만한 자료 - ISMS-P체크 리스트
https://brunch.co.kr/@topasvga/1771
