본문 바로가기
ITPE metacog/Cloud metacog

[AWS SAP] RDB 취약점 관리

by 잘 배우고, 잘 익히기 2021. 4. 6.

Req)

어떤 기업이 오케스트레이션 툴을 사용해서 수천개 EC2인스턴스를 관리하고 있습니다. 

최근 침투테스트에서 취약점을 그 기업 Software스택에서 발견했습니다. 이 취약점은 그 기업이 전체 평가를 현 생산환경에서 수행하도록 했습니다. 그 분석결과는 다음의 취약점이 환경 내에 존재한다고 확인해 주었습니다. 

 - OS가 오래된 라이브러리를 가지고 있고 알려진 취약점이 프로덕션에서 사용되고 있습니다. 

 - RDB가 호스팅&관리되는 것을 보니 알려진 취약점에 대한 미지원 버전을 운영하고 있습니다. 

 - DB가 DB에 저장된 상태가 암호화 되어 있지 않습니다. 

솔루션즈 아키텍트는 AWS Config를 사용해서 지속적으로 audit하고 평가를 그 기업의 AWS리소스 설정을 정책과 가이드라인을 기준으로 진행하려고 합니다. 

어떤 추가 조치가 그 기업 환경을 안전하게 하고 리소스를 추적해서 베스트프랙티스을 따르는 지를 볼 수 있을까요? 

 

Sol) AWS System Manager Agent, Amazon RDS

요구사항 솔루션
OS라이브러리 취약점 대응 
RDB 취약점 대응 
DB 암호화 요구
AWS System Manager : 모든 인스턴스에 AWS System Manager Agent 설치 
Amazon RDS & KMS  : RDS 마이그레이션해서 보안관리, AWS KMS로 암호화 

참고 : AWS System Manager 

AWS 시스템 관리자 (이전 SSM)는 에서 인프라를 보고 제어하는 데 사용할 수 있는 AWS 서비스입니다. 시스템 관리자 콘솔을 사용하여 여러 AWS 서비스의 운영 데이터를 보고 AWS 리소스 전체에서 운영 작업을 자동화할 수 있습니다. 시스템 관리자를 사용하면 관리형 인스턴스를 스캔하고 감지한 정책 위반에 대해 보고(또는 정책 위반에 대해 교정 조치를 취)하여 보안 및 규정 준수를 유지할 수 있습니다.