Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
AWS Builders
Online Series
보안 자동화! 이미지 생성부터
침해사고 대응까지!
신 은 수
Security Specialist Solutions Architect
왜 전통적인 보안은 어려운 것일까요?
가시성의 결여 낮은 수준의 자동화
OR빠른 변화 보안 유지
예전에는…
ORAND빠른 변화 보안 유지
현재는…
보호 탐지 대응
자동화
분석
복구식별
AWS Systems
Manager
AWS Config
AWS
Lambda
Amazon
CloudWatch
Amazon
Inspector
Amazon
Macie
Amazon
Guar...
EC2 Image Builder
AWS 에서의 가상 이미지 관리
DevOps 엔지니어
CI/CD Pipeline
VPC
보안 그룹
인스턴스 실행
Post-Update
스크립트 실행
인스턴스 정지이미지 생성
이미지 생성 서비스
Source AMI
결제권...
EC2 Image Builder
쉽고 빠르게 자동화 환경을 생성 및 관리하고 ”Golden Image” 를 최신의 상태로 유지
서비스에 사용하기 전 테스트
환경을 제공함으로써 서비스
품질 개선
GUI 를 통해 VM 이미...
소스 이미지로 시작 소프트웨어와 설정에
대한 최적화 적용
AWS가 제공하거나
자체 제작한 템플릿을
이용하여 이미지 보안
적용
AWS 가
제공하거나 자체
구성한 테스트
시나리오 반영
선택한 AWS
리전에 “골드
이미지” ...
• 어플리케이션 취약점에 대한 자동화된 진단 및
모범 사례에 기반한 진단 서비스
• 위협 레벨에 따라 가중치를 부여하고 상세한 탐지
내역을 제공
• 에이전트를 이용한 API 기반 서비스
자동화된 보안 평가 서비스
Net...
Amazon Inspector 의 사용
Assessment
구성
Assessment
실행
탐지 내역
처리
Amazon Inspector
Partner
• SIEM
• Reporting
• Ticketing
취약점
대상 ...
Event (event-
based)
Amazon Inspector – 지속적인 보안 업데이트
로그 분석
AWS CloudTrail AWS Lambda
(post processor)
PutEvent 가
Lambda 호출
Amazon DynamoDB
메타데이터 저장/호출
Amazon
S3 Bucket
CloudTrail 로그...
CloudTrail 로그 시각화
Amazon VPC
Flow Logs
AWS Lambda
(ingester function)
Lambda 로
로그 스트리밍
Amazon
CloudWatch Logs
VPC Flow 로그를
CloudWatch 로 전달
K...
VPC Flow 로그 시각화
사고 대응
탐지 내역에 대한 조치
Amazon
CloudWatch
CloudWatch
Event
보고 조치 수행
Amazon
GuardDuty
탐지
AWS Security
Hub
Amazon
CloudWatch
CloudWatch
Event
통합 보고 조치 수행
Amazon
GuardDuty
탐지
탐지 내역 선별
탐지 내역에 대한 조치 – w/ Security Hub
https://github.com/aws-samples/amazon-guardduty-waf-acl/
Amazon GuardDuty Amazon
CloudWatch
Event rule
SSH Brute Force 탐지 ...
Amazon GuardDuty Amazon
CloudWatch
Event rule
Cryptocurrency 공격 탐지 이벤트가
CloudWatch Event Rule 호출
AWS Systems
Manager Run
C...
위협 사냥 (Threat Hunting)
Amazon Detective
Incident
Response
Hunting
Alert
Analysis
탐지 내역 식별
빠른 의사 결정을 통해 불필요한
Escalation 최소화
사고 분석
관련된 상황 파악,
연관 분석...
Amazon Detective
지역별 서비스 패턴 분석
비정상 API 이용 패턴 분석
Security Hub 를 통한 통합
AWS Security Hub 의 장점
AWS Security Hub 의 장점
조치 실행
통합된
탐지 내역 관리
규정 준수
Security Hub 에서의 Custom Action
Rule
Event
Custom
Action
Lambda
Function
Rule
Event
Custom
Action
Kinesis Stream
Rule
Event...
모든 탐지 내역에 대한 조치 수행
Security Hub 에 통합된 모든 보안 서비스의 새로운 탐지 내역은 CloudWatch Event 로
전송됩니다.
사고 대응 플레이북 기본 구성
Amazon
CloudWatch
Events
AWS
CloudTrail
AWS Config
Lambda
function
AWS APIs
탐지
분석
대응
협업 도구
(Slack, etc.)
...
AWS 온라인 교육
추천 교육 과정
• AWS Cloud Practitioner Essentials (Second Edition) (Korean)
AWS 클라우드의 기초를 배우고, 기본 자격증인 AWS Certified...
aws-korea-marketing@amazon.com
twitter.com/AWSKorea
facebook.com/amazonwebservices.ko
youtube.com/user/AWSKorea
slideshare...
Upcoming SlideShare
Loading in …5
×

[AWS Builders 온라인 시리즈] 보안 자동화! 이미지 생성부터 침해사고 대응까지! - 신은수, AWS Security Specialist SA

179 views

Published on

발표자료 다시보기: https://youtu.be/fSmjMp-YFTQ

빠르게 변화하고 다양한 서비스가 연계되어 있는 클라우드 환경에서는 조직의 규정 준수 및 강화된 보안을 위해서는 자동화된 보안 체계가 필수입니다. 이 세션에서는 AWS 서비스를 사용하기 위해 필요한 이미지(AMI)관리에서부터 보안 사고 발생 시 필요한 침해 사고 대응 절차까지 다양한 환경에서 발생할 수 있는 이벤트 및 이에 대한 자동화된 대응 방법에 대해 살펴봅니다.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

[AWS Builders 온라인 시리즈] 보안 자동화! 이미지 생성부터 침해사고 대응까지! - 신은수, AWS Security Specialist SA

  1. 1. AWS Builders Online Series 보안 자동화! 이미지 생성부터 침해사고 대응까지! 신 은 수 Security Specialist Solutions Architect
  2. 2. 왜 전통적인 보안은 어려운 것일까요? 가시성의 결여 낮은 수준의 자동화
  3. 3. OR빠른 변화 보안 유지 예전에는…
  4. 4. ORAND빠른 변화 보안 유지 현재는…
  5. 5. 보호 탐지 대응 자동화 분석 복구식별 AWS Systems Manager AWS Config AWS Lambda Amazon CloudWatch Amazon Inspector Amazon Macie Amazon GuardDuty AWS Security Hub AWS IoT Device Defender AWS Key Management Service AWS Identity and Access Management (IAM) AWS Single Sign-On Snapshot Archive AWS CloudTrail Amazon CloudWatch Amazon VPC AWS WAF AWS ShieldAWS Secrets Manager AWS Firewall Manager 탐지 보호 AWS에서 제공하는 보안서비스 Amazon Detective
  6. 6. EC2 Image Builder
  7. 7. AWS 에서의 가상 이미지 관리 DevOps 엔지니어 CI/CD Pipeline VPC 보안 그룹 인스턴스 실행 Post-Update 스크립트 실행 인스턴스 정지이미지 생성 이미지 생성 서비스 Source AMI 결제권자 AWS 계정 CloudWatch Event Pre-Update 스크립트 실행 패치/라이브러리 업데이트 Tag 할당 이미지 사용 승인 Amazon SNS 인스턴스 실행 Inspector 설치 취약점 진단Parameter Store Golden AMI 1 2 3 4 5
  8. 8. EC2 Image Builder 쉽고 빠르게 자동화 환경을 생성 및 관리하고 ”Golden Image” 를 최신의 상태로 유지 서비스에 사용하기 전 테스트 환경을 제공함으로써 서비스 품질 개선 GUI 를 통해 VM 이미지를 위한 자동화 환경 생성 보안성, 호환성 유지 및 최신 정보 반영을 위한 비용 절감
  9. 9. 소스 이미지로 시작 소프트웨어와 설정에 대한 최적화 적용 AWS가 제공하거나 자체 제작한 템플릿을 이용하여 이미지 보안 적용 AWS 가 제공하거나 자체 구성한 테스트 시나리오 반영 선택한 AWS 리전에 “골드 이미지” 배포 모든 EC2 Image Builder 절차들은 고객의 AWS Account 에서 구동됩니다. EC2 Image Builder – 동작 원리 업데이트가 있을 때마다 반복
  10. 10. • 어플리케이션 취약점에 대한 자동화된 진단 및 모범 사례에 기반한 진단 서비스 • 위협 레벨에 따라 가중치를 부여하고 상세한 탐지 내역을 제공 • 에이전트를 이용한 API 기반 서비스 자동화된 보안 평가 서비스 Network OS/미들웨어 Web application 적용 계층 진단 예시 SQL 삽입 Cross-site scripting OS 명령어 삽입 파라미터 변경 OS/MW Exploit 설정 오류 취약한 암호 설정 포트 스캐닝 사용되지 않는 리스너 외부에 노출된 서비스 Amazon Inspector 의 진단 범위 Amazon Inspector
  11. 11. Amazon Inspector 의 사용 Assessment 구성 Assessment 실행 탐지 내역 처리 Amazon Inspector Partner • SIEM • Reporting • Ticketing 취약점 대상 AWS 자원 권고 사항 대응
  12. 12. Event (event- based) Amazon Inspector – 지속적인 보안 업데이트
  13. 13. 로그 분석
  14. 14. AWS CloudTrail AWS Lambda (post processor) PutEvent 가 Lambda 호출 Amazon DynamoDB 메타데이터 저장/호출 Amazon S3 Bucket CloudTrail 로그를 S3 버킷에 저장 Amazon Elasticsearch 후처리 로그를 Elasticsearch 로 전달 보안팀 로그 분석 탐지 및 응답 AWS CloudTrail 로그 처리
  15. 15. CloudTrail 로그 시각화
  16. 16. Amazon VPC Flow Logs AWS Lambda (ingester function) Lambda 로 로그 스트리밍 Amazon CloudWatch Logs VPC Flow 로그를 CloudWatch 로 전달 Kinesis Data Firehose 로 전달 Amazon Kinesis Data Firehose Amazon Elasticsearch Service 후처리 로그를 Elasticsearch 로 전달 보안팀 로그 분석 AWS Lambda (ingestor function) 데이터 강화 3rd Party Data 메타데이터 수집/호출 https://github.com/aws-samples/aws-vpc-flow-log-appender/ VPC Flow 로그 처리 탐지 및 응답
  17. 17. VPC Flow 로그 시각화
  18. 18. 사고 대응
  19. 19. 탐지 내역에 대한 조치 Amazon CloudWatch CloudWatch Event 보고 조치 수행 Amazon GuardDuty 탐지
  20. 20. AWS Security Hub Amazon CloudWatch CloudWatch Event 통합 보고 조치 수행 Amazon GuardDuty 탐지 탐지 내역 선별 탐지 내역에 대한 조치 – w/ Security Hub
  21. 21. https://github.com/aws-samples/amazon-guardduty-waf-acl/ Amazon GuardDuty Amazon CloudWatch Event rule SSH Brute Force 탐지 이벤트가 CloudWatch Event Rule 호출 AWS Lambda CloudWatch Event Rule 이 Lambda 호출 AWS WAF AWS WAF IP이 생성되고 Web ACL 에 추가 Amazon DynamoDB IP 리스트 업데이트 Amazon VPC Network access control list (ACL) IP 차단을 위한 Network ACL 규칙 생성 Amazon SNS Topic SNS 로 내용전달 보안팀에 경보 발생 탐지 및 응답 – Brute Force 공격 대응
  22. 22. Amazon GuardDuty Amazon CloudWatch Event rule Cryptocurrency 공격 탐지 이벤트가 CloudWatch Event Rule 호출 AWS Systems Manager Run Command CloudWatch Event Rule 에서 각각 호출 인스턴스 서비스 중단 및 메모리 캡쳐 Amazon EC2 instance Auto Scaling group 에서 제거 후 Snapshot 생성 AWS Systems Manager Automation AWS Lambda 메모리 덤프와 Snapshot 을 별도의 포렌직 계정으로 이동 포렌직 AWS Account 탐지 및 응답 – 인스턴스 침해 대응
  23. 23. 위협 사냥 (Threat Hunting)
  24. 24. Amazon Detective Incident Response Hunting Alert Analysis 탐지 내역 식별 빠른 의사 결정을 통해 불필요한 Escalation 최소화 사고 분석 관련된 상황 파악, 연관 분석 개선 위협 사냥 데이터 수집 및 통합의 간소화
  25. 25. Amazon Detective 지역별 서비스 패턴 분석 비정상 API 이용 패턴 분석
  26. 26. Security Hub 를 통한 통합
  27. 27. AWS Security Hub 의 장점
  28. 28. AWS Security Hub 의 장점 조치 실행 통합된 탐지 내역 관리 규정 준수
  29. 29. Security Hub 에서의 Custom Action Rule Event Custom Action Lambda Function Rule Event Custom Action Kinesis Stream Rule Event Custom Action Run command Simple Notification Service
  30. 30. 모든 탐지 내역에 대한 조치 수행 Security Hub 에 통합된 모든 보안 서비스의 새로운 탐지 내역은 CloudWatch Event 로 전송됩니다.
  31. 31. 사고 대응 플레이북 기본 구성 Amazon CloudWatch Events AWS CloudTrail AWS Config Lambda function AWS APIs 탐지 분석 대응 협업 도구 (Slack, etc.) Amazon GuardDuty VPC Flow Logs Amazon Inspector Amazon Macie AWS Security Hub
  32. 32. AWS 온라인 교육 추천 교육 과정 • AWS Cloud Practitioner Essentials (Second Edition) (Korean) AWS 클라우드의 기초를 배우고, 기본 자격증인 AWS Certified Cloud Practitioner 시험을 준비하세요. • Amazon DynamoDB for Serverless Architectures 이 과정은 Amazon DynamoDB가 무엇이고 서버리스 아키텍쳐를 구축하는 데 어떻게 활용되는지 소개합니다. • AWS Security Fundamentals (Korean) 이 과정은 기초적인 클라우드 컴퓨팅을 비롯해 AWS 액세스 제어 및 관리, 거버넌스, 로깅 및 암호화 방법 등 AWS의 보안 개념을 소개합니다. • Getting Started with Amazon Simple Storage Service (Amazon S3) 이 과정은 S3의 일반적인 사용 사례를 통해 어떻게 S3가 애플리케이션에 객체 스토리지를 제공하는지 소개하며, 언제 S3를 활용해야 하는지 알려 드립니다. 자신의 속도에 맞춰 학습하세요. 무료 AWS 디지털 교육을 통해 편한 시간에 원하는 장소에서 최신 클라우드 기술을 학습할 수 있습니다.
  33. 33. aws-korea-marketing@amazon.com twitter.com/AWSKorea facebook.com/amazonwebservices.ko youtube.com/user/AWSKorea slideshare.net/awskorea twitch.tv/aws AWS Builders 온라인 시리즈에 참석해주셔서 대단히 감사합니다. 저희가 준비한 내용, 어떻게 보셨나요? 더 나은 세미나를 위하여 설문을 꼭 작성해 주시기 바랍니다.

×