반응형
Req)
어떤 기업이 웹애플리케이션을 EC2에서 운영하고 있습니다.
웹Tier는 ALB로 구성되며 오토스케일링 그룹으로 지원되며 웹서버 인스턴스를 여러 AZ(가용영역)으로 분포하게 하고 있습니다. 데이터베이스 Tier는 Aurora MySQL을 사용하고 있습니다. 그 기업의 보안팀은 AWS WAF를 배포하고 ALB와 통합하여 SQL인젝션 공격이 애플리케이션에 방지되도록 했습니다. 최근 보안침해가 보고되었으며 공격자는 개별 웹서버에 접근을 얻을 수 있었고 기업의DB에 랜덤IP주소로 접근 가능하였습니다. 보안팀은 결국 더 좋을 룰을 쓸 수 있게 되었으며 SQL인젝션 기법을 공격자가 사용하는 것을 매칭하는 것이었습니다. 그러나, 이 프로세스는 한 시간 소요가 되는 것으로 3rd party 보안 에이전트가 EC2인스턴스 위에서 동작하면서 성공적으로 공격을 탐지하는 프로세스 입니다
어떤 전략이 보안팀으로 하여금 DB와 전체 인프라를 보호할 수 있게 할까요?
Sol) Amazon GaurdDuty, Amazon EventBridge, AWS Lambda function
| 요구사항 | 솔루션 |
| 웹서버에 대한 SQL인젝션 공격 탐지 - DB와 인프라 보호 - 현재는 탐지에 1시간 소요(3rd party 보안 에이전트) |
1) GuardDuty : VPC Flow Logs 분석 2) Amazon EventBridge rule 설정 - Lambda function을 GuardDuty 상에 트리거 : alert 3) Lambda function : 탐지된 공격을 블록(SG 변경으로 대응) |
반응형
'ITPE metacog > Cloud metacog' 카테고리의 다른 글
| [AWS SAP] UDP 트래픽 처리하는 퍼브릭 공개 인스턴스 보안성 (0) | 2021.05.10 |
|---|---|
| [AWS SAP] 리전 내 웹애플리케이션 전체 고장 시에도 최소 지연시간 (0) | 2021.04.30 |
| [AWS SAP] 고객 콜레코딩 변환 시간 감소 및 비용 절감 (0) | 2021.04.30 |
| [AWS SAP] 고장 이슈 트러블슈팅을 위한 분석용 로그 제공 (0) | 2021.04.28 |
| Cloud Native의 정의 (from CNCF) (0) | 2021.04.28 |