안녕하세요 늑대양 입니다
지난 밤(240426) 센터필드 에서 진행된 AWS KRUG Security 소모임 에서 진행된 밋업 내용을 공유드리고자 합니다.
해당 밋업은 AWS Korea 에서 AWS Professional Services 조직의 정하윤 님 께서 AWS Native Service를 이용한 보안 관제 방안 제시 라는 주제로 발표해주셨습니다.
https://aws.amazon.com/ko/professional-services/
보안 회사에서 DevSecOps Engineer 직무로 일하고 있는 입장으로 굉장히 흥미로운 내용이었습니다!
AWS 의 보안 서비스 및 솔루션에 관심이 있으신 분들 및 AWS Native Service 를 활용한 솔루션에 관심이 있는 분들에게 도움이 되셨으면 좋을 것 같습니다.
감사합니다 😉
Details
- 안녕하세요. AWSKRUG 보안모임입니다.
- 2024.4월 KRUG Security Meetup Security Meetup 공지입니다.!!!
- 이번 4월에는 AWS 환경에서의 Native Service를 이용하여 모니터링 및 관제 대응 방안에 대한 사례를 공유드릴 예정입니다.
- 그리고 Security Meetup 유저분들과의 네트워킹 세션이 준비되어 있습니다.!!
일시 및 장소
- 2024년 4월 25일 목요일 19:00 ~ 21:00
- 서울 강남구 테헤란로 231 센터필드 EAST 18층
진행 내역 및 연사 소개
- [ Opening ]
- KRUG Security Meetup Icebreaking
- KRUG 소개 및 공지
- [ Networking ]
- Meetup User Networking (^-^)
- [ Session ]
- AWS Native Service를 이용한 보안 관제 방안 제시 (AWS Proserve 정하윤님)
- Contents:
- AWS Systems Manager Incident Manager 와 Automated Security Response on AWS를 이용한 보안 관제 방안 제시
AWS Native Service를 이용한 보안 관제 방안 제시
Incident Manager:
Incident?
- 비즈니스 운영에 중대한 영향을 미칠 수 있는 예상치 못한 중단이나 서비스 품질 저하의 원인이 되는 것들 → 사고
- AWS 네이티브 서비스인 Security Hub Standards, GuardDuty, Inspector 등에서 탐지되는 Findings를 인시던트로 정의
Incident Manager:
https://aws.amazon.com/ko/blogs/korea/resolve-it-incidents-faster-with-incident-manager-a-new-capability-of-aws-systems-manager/
https://aws.amazon.com/ko/systems-manager/features/incident-manager/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc&blog-posts-cards.sort-by=item.additionalFields.createdDate&blog-posts-cards.sort-order=desc
https://docs.aws.amazon.com/ko_kr/incident-manager/latest/userguide/what-is-incident-manager.html
- 인시던트 해결과 완화에 소요되는 시간을 단축하고 관련된 프로세스를 관리할 수 있는 기능
- 인시던트를 탐지 및 조사하고, 문제를 해결하고, 서비스를 복원하기 위한 서비스
Incident 관리 프로세스:
- 인시던트 탐지
- 담당자 연락 및 대응 상황 확인
- 에스컬레이션 흐름 정비
- 조사 및 대응
- 조사에 필요한 정보 수집
- 작업 효율화 및 자동화
- 유관자간 소통 강화
- 사후 분석
- 사고 대응 프로세스 개선
- 사고 원인에 대한 이해
Incident Manager Overview:
Incident Manager:
- 연락처
- 인시던트 발생 시, 수신 연락처
- e-mail, SMS, 전화로 수신 가능
- 에스컬레이션 계획
- 순환 호출처럼 연락처의 응답 여부에 따라 다음 연락처로 자동 에스컬레이션
- 온콜 스케쥴
- 인시던트 발생 시, 연락처 로테이션 할 수 있는 스케쥴 설정
- 일, 주, 월 단위로 로테이션 가능
- 채팅 채널
- 인시던트 업데이트 및 알림을 chatbot을 통한 채팅 채널로 연동 가능
- Amazon Chime, Slack, MS Teams 지원
- Runbook
- 인시던트 대응에 필요한 절차서 연동
- 애플리케이션 및 인프라 작업 자동화 가능
- 대응 계획
- 연락처, 에스컬레이션 계획, 온콜 스케쥴, 채팅 채널, Runbook을 맵핑
- 인시던트 발생 시, 대응 계획 호출
연락처 - 참여계획
- email
- SMS
- 음성 알림 (전화도 가능)
- 단점: 영어로 안내
온콜 스케쥴
- 온콜 담당자 그룹 내에서 로테이션 설정 가능
- 인시던트 발생 시, 연락처 로테이션 할 수 있는 스케쥴 설정
- 일, 주, 월 단위로 로테이션 가능
- 활성화 요일 선택 및 주 단위 순환 도 가능
- 온콜 스케쥴 캘린더 확인 가능
채팅 채널
Runbook
- 인시던트 발생 시, AWS Systems Manager Automation의 Runbook 호출 가능
- 인시던트 대응에 필요한 절차 및 처리 단계의 순차적 정의를 통한 대응 시간 단축 가능
- 인시던트 대응을 위한 runbook 템플릿 제공
- 사고 대응의 일반적인 단계가 정의되어 있으며, 각 단계별 수행 조치 명시
- Start → 위험도 분류 → 진단 → 완화 → 복구 → End
- Triage → Diagnosis → Mitigation → Recovery
- Runbook과 관련된 개별적인 언어가 있으며, 크게 어렵지 않게 작성 가능
대응 계획
- 인시던트 기본값
- 런북 구성
- 채팅 채널
- 참여(Engage)
인시던트 확인
- 지표 타임라인, Runbook, 참여 계획 등을 각 탭에서 확인 가능
- 개요
- 진단
- 타임라인
- 언제 누가 무슨 일이 일어났는지 자동으로 기입
- 런북
- 참여
- 어느 사람이 참여하였는지
- 메시지나 온콜이 왔을 때, 여섯자리 번호를 주며, 해당 내용을 기입해야함
- 기입하지 않을 경우 계속해서 에스컬레이션 작업이 일어남
- 보고 나서 기입을 하여 사고가 났고 그것을 인지했음을 입력
- 관련 항목
- 속성
Flow
Automated Security Response(ASR) on AWS
Service vs Solutions:
- 서비스 를 모아서 솔루션 을 만드는 느낌
- 솔루션은 배포까지 할 수 있어야함
AWS Solutions
https://aws.amazon.com/ko/solutions/
https://github.com/aws-solutions
- 솔루션이란:
- AWS는 비즈니스 과제를 신속하게 해결하기 위한 교육 정보가 포함된 맞춤형 서비스, 즉시 배포가능한 소프트웨어 패키지, 사용자 정의 가능한 아키텍처를 제공
- AWS Solutions Library Page or github
장점:
- AWS Security Hub 통합
- 플레이북 정의
- 5가지 업계 표준에 매핑되는 70개 이상의 보안 제어에 대한 수정
- AWS 기초 보안 모범 사례
- NIST SP 800-53 Rev.5
- CIS AWS 기초 벤치마크 v1.2.0/v1.4.0
- PCI DSS
- 자동 교정
- 위협에 자동으로 대응하기 위해 사전 정의된 대응 및 교정 조치 세트를 배포
- 확장 가능하고 사용자 정의 가능
- SSM 자동화 문서와 IAM 역할을 배포 필요
- 솔루션에서 구현되지 않은 새로운 컨트롤 세트를 지언 시 사용자 지정 플레이북을 배포
- 표준화된 교정
Solution Deploy
- Stack 셋을 배포하고 해당 셋을 이용하여 어드민 계정(시크릿 계정)에서 실행하면 모든 계정에 배포 가능
Security Hub
- Custom actions:
- Findings 이 올라왔을 때, 해당 findings 에 대한 액션 가능
AWS Step functions:
Automated Security Response on AWS
ASR with Incident Manager
Summary
Useful:
- Native Service를 이용해 티켓 관리 시스템 및 자동화 시스템 구성 가능
- JIRA와도 연동 가능
- 이메일, 문자, 전화 가능 (단점, 영어)
- 스택을 사용해 복잡한 자동화 구성 간단 배포
- 사용자 입장에서는 대응을 하는 방법이 매우 간단
- 생각보다는 많은 플레이북과 저렴한 비용
- 지속적인 업데이트 및 기능 추가
Challenge:
- 경계보안, 다른 AWS Native Service에 대한 자동화는 포함되어 있지 않음
- 모든 컨트롤 에 대한 플레이북이 존재하지는 않음
- 커스텀 이 필요할 경우 SSM 도큐먼트를 해석하고 작성할 수 있어야 함
벌써 한 주의 업무가 끝나가는 금요일 이네요!!
주간 업무 잘 마무리 하시고 편안한 주말 보내시기를 바라겠습니다 🙏
다음에 또 찾아오겠습니다!
감사합니다