새소식
반응형
AWS/AWS KRUG
AWS KRUG - Security - 20240425
- -
728x90
반응형
안녕하세요 늑대양 입니다
지난 밤(240426) 센터필드 에서 진행된 AWS KRUG Security 소모임 에서 진행된 밋업 내용을 공유드리고자 합니다.
해당 밋업은 AWS Korea 에서 AWS Professional Services 조직의 정하윤 님 께서 AWS Native Service를 이용한 보안 관제 방안 제시 라는 주제로 발표해주셨습니다.
https://aws.amazon.com/ko/professional-services/
클라우드 전문 서비스 - 클라우드 컴퓨팅 컨설턴트 - AWS
솔루션 사례 분석 AWS 서비스를 사용하여 데이터 인프라를 현대화하고 데이터를 최대한 활용합니다. 애플리케이션 마이그레이션 AWS로의 애플리케이션 마이그레이션을 자동화 및 가속화합니다.
aws.amazon.com
보안 회사에서 DevSecOps Engineer 직무로 일하고 있는 입장으로 굉장히 흥미로운 내용이었습니다!
AWS 의 보안 서비스 및 솔루션에 관심이 있으신 분들 및 AWS Native Service 를 활용한 솔루션에 관심이 있는 분들에게 도움이 되셨으면 좋을 것 같습니다.
감사합니다 😉
Details
- 안녕하세요. AWSKRUG 보안모임입니다.
- 2024.4월 KRUG Security Meetup Security Meetup 공지입니다.!!!
- 이번 4월에는 AWS 환경에서의 Native Service를 이용하여 모니터링 및 관제 대응 방안에 대한 사례를 공유드릴 예정입니다.
- 그리고 Security Meetup 유저분들과의 네트워킹 세션이 준비되어 있습니다.!!
일시 및 장소
- 2024년 4월 25일 목요일 19:00 ~ 21:00
- 서울 강남구 테헤란로 231 센터필드 EAST 18층
진행 내역 및 연사 소개
- [ Opening ]
- KRUG Security Meetup Icebreaking
- KRUG 소개 및 공지
- [ Networking ]
- Meetup User Networking (^-^)
- [ Session ]
- AWS Native Service를 이용한 보안 관제 방안 제시 (AWS Proserve 정하윤님)
- Contents:
- AWS Systems Manager Incident Manager 와 Automated Security Response on AWS를 이용한 보안 관제 방안 제시
AWS Native Service를 이용한 보안 관제 방안 제시
- AWS Proserve 정하윤님
Incident Manager:
Incident?
- 비즈니스 운영에 중대한 영향을 미칠 수 있는 예상치 못한 중단이나 서비스 품질 저하의 원인이 되는 것들 → 사고
- AWS 네이티브 서비스인 Security Hub Standards, GuardDuty, Inspector 등에서 탐지되는 Findings를 인시던트로 정의
- JSON 포맷으로 정의
Incident Manager:
AWS Systems Manager – 신규 Incidet Manager를 통해 IT 긴급 요청 처리하기 | Amazon Web Services
IT 엔지니어는 애플리케이션 및 인프라를 구축하는 데 투입하는 기술과 관리에 자부심을 갖고 있습니다. 그러나 인정하기는 싫지만 100% 가동 시간과 같은 것은 없습니다. 어느 시점이 되면 모든
aws.amazon.com
AWS Systems Manager Incident Manager - Amazon Web Services
Incident Manager, from AWS Systems Manager, enables faster resolution of critical application availability and performance issues. It helps you prepare for incidents with automated response plans that bring the right people and information together. With I
aws.amazon.com
https://docs.aws.amazon.com/ko_kr/incident-manager/latest/userguide/what-is-incident-manager.html
AWS Systems Manager Incident Manager이란 무엇입니까? - Incident Manager
이 서비스와 관련하여 제공되는 기타 AWS 서비스, AWS 콘텐츠 및 제3자 콘텐츠에는 별도의 요금이 부과될 수 있으며 추가 약관이 적용될 수 있습니다.
docs.aws.amazon.com
- 인시던트 해결과 완화에 소요되는 시간을 단축하고 관련된 프로세스를 관리할 수 있는 기능
- 인시던트를 탐지 및 조사하고, 문제를 해결하고, 서비스를 복원하기 위한 서비스
Incident 관리 프로세스:
- 인시던트 탐지
- 담당자 연락 및 대응 상황 확인
- 에스컬레이션 흐름 정비
- 조사 및 대응
- 조사에 필요한 정보 수집
- 작업 효율화 및 자동화
- 유관자간 소통 강화
- 사후 분석
- 사고 대응 프로세스 개선
- 사고 원인에 대한 이해
Incident Manager Overview:
Incident Manager:
- 연락처
- 인시던트 발생 시, 수신 연락처
- e-mail, SMS, 전화로 수신 가능
- 에스컬레이션 계획
- 순환 호출처럼 연락처의 응답 여부에 따라 다음 연락처로 자동 에스컬레이션
- 온콜 스케쥴
- 인시던트 발생 시, 연락처 로테이션 할 수 있는 스케쥴 설정
- 일, 주, 월 단위로 로테이션 가능
- 채팅 채널
- 인시던트 업데이트 및 알림을 chatbot을 통한 채팅 채널로 연동 가능
- Amazon Chime, Slack, MS Teams 지원
- Runbook
- 인시던트 대응에 필요한 절차서 연동
- SSM Document 로 사전 작성
- 애플리케이션 및 인프라 작업 자동화 가능
- 인시던트 대응에 필요한 절차서 연동
- 대응 계획
- 연락처, 에스컬레이션 계획, 온콜 스케쥴, 채팅 채널, Runbook을 맵핑
- 인시던트 발생 시, 대응 계획 호출
연락처 - 참여계획
- SMS
- 음성 알림 (전화도 가능)
- 단점: 영어로 안내
온콜 스케쥴
- 온콜 담당자 그룹 내에서 로테이션 설정 가능
- 인시던트 발생 시, 연락처 로테이션 할 수 있는 스케쥴 설정
- 일, 주, 월 단위로 로테이션 가능
- 활성화 요일 선택 및 주 단위 순환 도 가능
- 온콜 스케쥴 캘린더 확인 가능
채팅 채널
Runbook
- 인시던트 발생 시, AWS Systems Manager Automation의 Runbook 호출 가능
- 인시던트 대응에 필요한 절차 및 처리 단계의 순차적 정의를 통한 대응 시간 단축 가능
- 인시던트 대응을 위한 runbook 템플릿 제공
- 사고 대응의 일반적인 단계가 정의되어 있으며, 각 단계별 수행 조치 명시
- Start → 위험도 분류 → 진단 → 완화 → 복구 → End
- Triage → Diagnosis → Mitigation → Recovery
- 사고 대응의 일반적인 단계가 정의되어 있으며, 각 단계별 수행 조치 명시
- Runbook과 관련된 개별적인 언어가 있으며, 크게 어렵지 않게 작성 가능
대응 계획
- 인시던트 기본값
- 이름
- 영향
- 요약
- 런북 구성
- 템플릿
- 기존 런북
- 런북 서비스 역할 연결
- 채팅 채널
- 슬랙
- 팀즈
- 참여(Engage)
인시던트 확인
- 지표 타임라인, Runbook, 참여 계획 등을 각 탭에서 확인 가능
- 개요
- 요약사항 확인 가능
- 진단
- 타임라인
- 언제 누가 무슨 일이 일어났는지 자동으로 기입
- 런북
- 자동화 관련
- 런북 내에 런북 도 실행 가능
- 참여
- 어느 사람이 참여하였는지
- 메시지나 온콜이 왔을 때, 여섯자리 번호를 주며, 해당 내용을 기입해야함
- 기입하지 않을 경우 계속해서 에스컬레이션 작업이 일어남
- 보고 나서 기입을 하여 사고가 났고 그것을 인지했음을 입력
- 관련 항목
- 속성
Flow
Automated Security Response(ASR) on AWS
Service vs Solutions:
- 서비스 를 모아서 솔루션 을 만드는 느낌
- 솔루션은 배포까지 할 수 있어야함
AWS Solutions
https://aws.amazon.com/ko/solutions/
AWS Solutions Library | Amazon Web Services | AWS
오늘날 조직은 비즈니스 과제를 신속하게 해결하기 위해 검증된 솔루션과 아키텍처 지침을 찾고 있습니다. 고객이 기성 배포 아키텍처 또는 사용자 지정 가능한 아키텍처 중 무엇을 선호하든,
aws.amazon.com
https://github.com/aws-solutions
aws-solutions
aws-solutions has 78 repositories available. Follow their code on GitHub.
github.com
- 솔루션이란:
- AWS는 비즈니스 과제를 신속하게 해결하기 위한 교육 정보가 포함된 맞춤형 서비스, 즉시 배포가능한 소프트웨어 패키지, 사용자 정의 가능한 아키텍처를 제공
- AWS Solutions Library Page or github
장점:
- AWS Security Hub 통합
- 플레이북 정의
- 5가지 업계 표준에 매핑되는 70개 이상의 보안 제어에 대한 수정
- AWS 기초 보안 모범 사례
- NIST SP 800-53 Rev.5
- CIS AWS 기초 벤치마크 v1.2.0/v1.4.0
- PCI DSS
- 5가지 업계 표준에 매핑되는 70개 이상의 보안 제어에 대한 수정
- 자동 교정
- 위협에 자동으로 대응하기 위해 사전 정의된 대응 및 교정 조치 세트를 배포
- 확장 가능하고 사용자 정의 가능
- SSM 자동화 문서와 IAM 역할을 배포 필요
- 솔루션에서 구현되지 않은 새로운 컨트롤 세트를 지언 시 사용자 지정 플레이북을 배포
- 표준화된 교정
Solution Deploy
- Stack 셋을 배포하고 해당 셋을 이용하여 어드민 계정(시크릿 계정)에서 실행하면 모든 계정에 배포 가능
Security Hub
- Custom actions:
- Findings 이 올라왔을 때, 해당 findings 에 대한 액션 가능
AWS Step functions:
Automated Security Response on AWS
ASR with Incident Manager
Summary
Useful:
- Native Service를 이용해 티켓 관리 시스템 및 자동화 시스템 구성 가능
- JIRA와도 연동 가능
- 이메일, 문자, 전화 가능 (단점, 영어)
- 스택을 사용해 복잡한 자동화 구성 간단 배포
- 사용자 입장에서는 대응을 하는 방법이 매우 간단
- 생각보다는 많은 플레이북과 저렴한 비용
- 지속적인 업데이트 및 기능 추가
Challenge:
- 경계보안, 다른 AWS Native Service에 대한 자동화는 포함되어 있지 않음
- 모든 컨트롤 에 대한 플레이북이 존재하지는 않음
- 커스텀 이 필요할 경우 SSM 도큐먼트를 해석하고 작성할 수 있어야 함
벌써 한 주의 업무가 끝나가는 금요일 이네요!!
주간 업무 잘 마무리 하시고 편안한 주말 보내시기를 바라겠습니다 🙏
다음에 또 찾아오겠습니다!
감사합니다
728x90
반응형
'AWS > AWS KRUG' 카테고리의 다른 글
| AWS KRUG - Seongsu - 20240424 (0) | 2024.04.26 |
|---|---|
| AWS KRUG - Serverless 소모임 - 20240416 (0) | 2024.04.17 |
Contents
소중한 공감 감사합니다