Req)
어떤 기업이 오케스트레이션 툴을 사용해서 수천개 EC2인스턴스를 관리하고 있습니다.
최근 침투테스트에서 취약점을 그 기업 Software스택에서 발견했습니다. 이 취약점은 그 기업이 전체 평가를 현 생산환경에서 수행하도록 했습니다. 그 분석결과는 다음의 취약점이 환경 내에 존재한다고 확인해 주었습니다.
- OS가 오래된 라이브러리를 가지고 있고 알려진 취약점이 프로덕션에서 사용되고 있습니다.
- RDB가 호스팅&관리되는 것을 보니 알려진 취약점에 대한 미지원 버전을 운영하고 있습니다.
- DB가 DB에 저장된 상태가 암호화 되어 있지 않습니다.
솔루션즈 아키텍트는 AWS Config를 사용해서 지속적으로 audit하고 평가를 그 기업의 AWS리소스 설정을 정책과 가이드라인을 기준으로 진행하려고 합니다.
어떤 추가 조치가 그 기업 환경을 안전하게 하고 리소스를 추적해서 베스트프랙티스을 따르는 지를 볼 수 있을까요?
Sol) AWS System Manager Agent, Amazon RDS
| 요구사항 | 솔루션 |
| OS라이브러리 취약점 대응 RDB 취약점 대응 DB 암호화 요구 |
AWS System Manager : 모든 인스턴스에 AWS System Manager Agent 설치 Amazon RDS & KMS : RDS 마이그레이션해서 보안관리, AWS KMS로 암호화 |
참고 : AWS System Manager
AWS 시스템 관리자 (이전 SSM)는 에서 인프라를 보고 제어하는 데 사용할 수 있는 AWS 서비스입니다. 시스템 관리자 콘솔을 사용하여 여러 AWS 서비스의 운영 데이터를 보고 AWS 리소스 전체에서 운영 작업을 자동화할 수 있습니다. 시스템 관리자를 사용하면 관리형 인스턴스를 스캔하고 감지한 정책 위반에 대해 보고(또는 정책 위반에 대해 교정 조치를 취)하여 보안 및 규정 준수를 유지할 수 있습니다.
'ITPE metacog > Cloud metacog' 카테고리의 다른 글
| [AWS SAP] 온프레미스 VM 100개를 AWS로 마이그레이션 (0) | 2021.04.07 |
|---|---|
| [AWS SAP] 신규 계정들에서 특정 서비스셋의 접근 거부 (0) | 2021.04.06 |
| [AWS SAP] 마케팅 캠페인의 산발적인 주문 트래픽 처리 (0) | 2021.04.06 |
| [AWS SAP] 그룹별 EC2인스턴스 접근 제한 (0) | 2021.04.06 |
| [AWS SAP] 중앙화 방식으로 월간 빌링 리포트 개별 통지 (0) | 2021.04.04 |