AWS 보안 체크리스트 - EC2/VPC/EBS / AWS Security Check List - EC2/VPC/EBS

어제에 이어 오늘은 보안 체크리스트 General에 대해 알아보겠습니다.

1. 암호화 된 EBS 볼륨만 사용하세요.

  a. 일반적인 AES-256 알고리즘을 사용하여 데이터, 스냅샷 및 디스크 I/O를 암호화하세요.

  b. 암호화된 EBS 볼륨을 만들고 지원되는 인스턴스 유형에 이 볼륨을 연결하면 다음 유형의 데이터가 암호화됩니다.

    i. 볼륨 내부에 있는 데이터

    ii. 볼륨과 인스턴스 사이에서 이동하는 모든 데이터

    iii. 볼륨에서 생성된 모든 스냅샷

    iv.그런 스냅샷에서 생성된 모든 볼륨

  c. 암호화된 EBS 볼륨을 사용하는 건 데이터보안의 기본입니다.

2. VPC 플로우 로그를 활성화하세요.

  a. 추가 분석을 위해 VPC의 네트워크 인터페이스와 주고 받는 IP 트래픽을 수집합니다.

  b. 흐름 로그 레코드는 공백으로 구분된 문자열로, 다음과 같은 형식입니다.

필드	설명
version	VPC 흐름 로그 버전.
account-id	흐름 로그의 AWS 계정 ID.
interface-id	로그 스트림이 적용되는 네트워크 인터페이스 ID.
srcaddr	소스 IPv4 또는 IPv6 주소. 네트워크 인터페이스의 IPv4 주소는 항상 해당 프라이빗 IPv4 주소입니다.
dstaddr	대상 IPv4 또는 IPv6 주소. 네트워크 인터페이스의 IPv4 주소는 항상 해당 프라이빗 IPv4 주소입니다.
srcport	트래픽의 소스 포트
dstport	트래픽의 대상 포트
protocol	트래픽의 IANA 프로토콜 번호. 자세한 내용은 지정된 인터넷 프로토콜 번호를 참조하십시오.
packets	캡처 기간 중 전송된 패킷 수.
bytes	캡처 기간 중 전송된 바이트 수.
start	캡처 기간의 시작 시간(단위: Unix 초)
end	캡처 기간의 종료 시간(단위: Unix 초)
action	트래픽과 연결된 작업  - ACCEPT: 보안 그룹 또는 네트워크 ACL에서 허용한 트래픽입니다.  - REJECT: 보안 그룹 또는 네트워크 ACL에서 허용하지 않은 트래픽입니다.
log-status	흐름 로그의 로깅 상태:   - OK: 데이터가 정상적으로 CloudWatch Logs에 로깅됩니다.  - NODATA: 캡처 기간 중 네트워크 인터페이스에서 전송하거나 수신된 네트워크 트래픽이 없었습니다.  - SKIPDATA: 캡처 기간 중 일부 흐름 로그 레코드를 건너뛰었습니다. 내부 용량 제한 또는 내부 오류가 원인일 수 있습니다.

3. EC2 키쌍을 보호하세요.

  a. 액세스 키 관리에 대한 우수사례를 따르세요.

    i. 계정 액세스 키 제거(또는 생성하지 않음)

    ii. 장기 액세스 키 대신 임시 보안 자격 증명(IAM 역할) 사용

    iii. 적절하게 IAM 사용자 액세스 키 관리

  b. 키쌍은 EC2 뿐만 아니라 많은 AWS 서비스들에도 적용됩니다.

  c. IAM과 키쌍은 밀접하게 관련이 있으므로 IAM에 대한 세심한 관리가 필요합니다.

4. EC2의 IAM 역할 활용

  a. IAM 정책 및 역할을 사용하여 필요한 리소스로 액세스를 제한하세요.

    i. AWS 계정 루트 사용자 액세스 키 잠그기

    ii. 개별 IAM 사용자 만들기

    iii. 가급적이면 AWS 정의 정책을 이용해 권한 할당

    iv. 그룹을 사용하여 IAM 사용자에게 권한을 할당합니다.

    v. 최소 권한 부여

    vi. 액세스 레벨을 이용한 IAM 권한 검토

    vii. 사용자에 대한 강력한 암호 정책 구성

    viii. 권한 있는 사용자에 대해 MFA 활성화

    viiii. Amazon EC2 인스턴스에서 실행되는 애플리케이션에 역할 사용

    x. 자격 증명을 공유하는 대신 역할을 사용하여 위임

    xi. 자격 증명을 정기적으로 교체

    xii. 불필요한 자격 증명 삭제

    xiii. 보안 강화를 위해 정책 조건 사용

    xiv. AWS 계정의 활동 모니터링

  b. IAM은 AWS 상에서 생길 수 있는 많은 변수를 정책적으로 관리하는 서비스입니다.

  c. IAM을 경험해보면서 많은 정책커스터마이징이 필요합니다. 

5. 명확하게 구조화된 보안그룹을 사용하여 EC2 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하세요.

  a. 보안그룹은 각 EC2 인스턴스의 인바운드와 아웃바운드 트래픽을 제어하는 사용하기 쉬운 가상의 방화벽입니다.

  b. 다음은 VPC의 보안 그룹 규칙 중 기본적인 부분입니다.

    i. (인바운드 규칙만 해당) 트래픽의 원본과 대상 포트 또는 포트 범위. 원본은 다른 보안 그룹, IPv4/IPv6 CIDR 블록 또는 단일 IPv4/IPv6 주소일 수 있습니다.

    ii. (아웃바운드 규칙만 해당) 트래픽의 대상과 대상 포트 또는 포트 범위. 대상은 다른 보안 그룹, IPv4/IPv6 CIDR 블록 또는 단일 IPv4/IPv6 주소일 수 있습니다.

    iii. 표준 프로토콜 번호를 가진 모든 프로토콜(목록은 Protocol Numbers 참조) ICMP를 프로토콜로 지정하면 ICMP 유형과 코드 중 일부 또는 전부를 지정할 수 있습니다.

    iv. 나중에 쉽게 식별할 수 있도록 보안 그룹 규칙에 대한 설명 옵션이 제공됩니다. 설명 길이는 최대 255자입니다. 허용되는 문자는 a-z, A-Z, 0-9, 공백 및 ._-:/()#,@[]+=;{}!$*입니다.