1. © 2018, Amazon Web Services, Inc. or Its Affiliates. All rights reserved.
이경수
솔루션즈 아키텍트 / Amazon Web Services
다양한 솔루션으로 만들어가는
AWS 네트워크 보안

2. © 2018, Amazon Web Services, Inc. or Its Affiliates. All rights reserved.
발표 순서
네트워크 구성
침입/위협 탐지
웹방화벽
보안 관제

3. © 2018, Amazon Web Services, Inc. or Its Affiliates. All rights reserved.
네트워크 구성
(방화벽 / 사설망)

4. Amazon VPC - 격리된 사설 네트워크가용영역A
가용영역B
AWS Virtual Private Cloud
• 논리적으로 분리된 일종의
가상 사설망을 제공
• VPC상에서 사설 IP대역을
선택
• 적절하게 서브넷팅하고
EC2 인스턴스를 배치
AWS network security
• AWS 는 IP Spoofing과 같은
레이어 2 공격 차단
• 소유하지 않은 EC2인스턴스에
대한 스니핑 불가
• 외부와의 모든 라우팅과
연결을 통제

5. Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
Internet Gateway
VPC CIDR: 10.1.0.0 /16
Internet
Subnet: 10.1.10.0/24
EIP EIP
Amazon VPC - 격리된 사설 네트워크

6. AWS 방화벽 – 보안그룹 ( Security Group )
§ 보안그룹
§ 인스턴스 단위 적용
§ 적용포인트 : 인바운드/아웃 바운드
§ Protocol : 모든 인터넷 프로토콜
지원
§ IP/Port 에 대한 접속 허용/차단
§ Stateful 방화벽
보안그룹

7. AWS 방화벽 - Network ACL(NACL)
Availability Zone
‘A’
Availability Zone
‘B’
Network ACL
• 서브넷 단위 적용
• Stateless 방화벽
• DENY 규칙 적용 가능

8. AWS 방화벽 - Security Group vs Network ACL
Security Group Network ACL
인스턴스 단위
인스턴스에 개별 적용
서브넷 단위
서브넷 내 인스턴스에 자동 적용
allow 규칙 만 allow / deny 규칙
stateful : return 트래픽 자동 허용 stateless : return 트래픽에 대해 allow
규칙 설정 필요
모든 규칙을 확인 후 판단 순서대로 규칙을 확인. allow/deny 규칙
만족 시 중단.

9. 라우팅
테이블
라우팅
테이블
인터넷
게이트웨이
가상 사설
게이트웨이
가상
라우터
VPC 10.1.0.0/16
AWS 방화벽

10. h
da
ZT
18 f S Z O
: AED
2
/0c
M c
beO
4C LED /
NQ
NQ
NQ
; A E
ED D gPa Z O
4
C LED /
4
: ;B D gPa O
; A E
4
MySQL
1 6 0
:
4 3 :E D
4
단일 VPC 기반 보안 구성 예시

11. 단일 VPC 기반 보안 구성 예시 – Security Group
Inbound 구성 예시 (Outbound는 All traffic : any open)
ALB
WEB
Bastion
sg-7367aa3a
sg-bb30fdf2

12. 단일 VPC 기반 보안 구성 예시 – NACL
Public Subnet 용 NACL : default - all allow

13. 단일 VPC 기반 보안 구성 예시 – NACL
Private Subnet 용 NACL

14. Security Group / Network ACL 한도
Security Group의 한도
• 네트워크 인터페이스 당 security group : 5개 (최대 10개)
• Security group 별 In 또는 Outbound 규칙 : 각 50개 (증설 가능)
그러나 1 * 2의 값은 최대 250을 초과할 수 없음
Network ACL의 한도
NACL당 In 또는 Outbound 규칙 : 각 20개 (최대 40개)

15. © 2018, Amazon Web Services, Inc. or Its Affiliates. All rights reserved.
침입/위협 탐지
(UTM : IDS/IPS/FW/VPN, Amazon GuardDuty)

16. IDS
Corporate Data center
Service Servers
Span/Tab
침입탐지 - 기존 데이타센터
• 트래픽 경로를 벗어나 구성
• 모니터링(스캐닝) 이 필요한
트래픽에 대한 선별적 포워딩

17. 대상 subnet 내 트래픽이 UTM 인스턴스를
경유하도록 Route Table 설정
Network Security관련된 설정을 단일
UTM솔루션에서 관리
성능 병목점이나 Single Failure Point 여부
확인 필요
AWS VPC 제공 기능(pub/pri subnet, nat, nacl,
…) 활용이 제한적임
침입탐지 (UTM Gateway 유형)
VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
10.0.128.0/24 10.0.129.0/24
…
Firewall
IDS/IPS
...
UTM
WEB
WAS … …
(10.0.0.0/16 : Local)
…
0.0.0.0/0 : UTM
10.0.0.0/16 : Local
0.0.0.0/0 : IGW
…
…
WEB
WAS

18. VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
10.0.128.0/24 10.0.129.0/24
…
UTM
(Active)
WEB
WAS …
DB
…
(10.0.0.0/16 : Local)
…
0.0.0.0/0 : Firewall
10.0.0.0/16 : Local
0.0.0.0/0 : IGW
…
UTM
(Stand
-by)
Conf. Sync.
Move EIP or
ENI
A-S형태로 구성 후 장애 발생 시
EIP나 ENI 를 Standby 인스턴스로
맵핑
A-S 가 단일 subnet을 벗어나 az간
구성이 가능한지, A-S 절체 시간이
얼마나 소요되는지 확인 필요
침입탐지 (UTM Gateway A-S 유형)

19. VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
10.0.128.0/24 10.0.129.0/24
UTM
(Standalone)
WEB
WAS … …
(10.0.0.0/16 : Local)
…
0.0.0.0/0 : Firewall
10.0.0.0/16 : Local
0.0.0.0/0 : IGW
…
WEB
WAS
10.0.2.0/24
UTM
(Standalone)
AZ 1 AZ 2
StandAlone 타입으로 az간 구성 후
ELB나 Route53으로 이중화 구성
관리대상 서버의 subnet이
참조하는 route table 셋팅을
UTM으로 해야함
or
침입탐지 (UTM Gateway A-A 유형)

20. 대상 인스턴스에 agent 설치 후
이를 관리
Scalability , Availability 장점
AWS Security Group, NACL과 UTM
F/W기능을 조합하여 관리하여야 함
침입탐지 (UTM Agent 유형 – Hosted IDS)
VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
10.0.128.0/24 10.0.129.0/24
…
Firewall
IDS/IPS
AV/Malwar
e...
UTM
Manager
WAS
… Batch
…
10.0.0.0/16 : Local
0.0.0.0/0 : NAT
…
10.0.0.0/16 : Local
0.0.0.0/0 : IGW
…
10.0.2.0/24
WEB
…

21. YOUR AWS ENVIRONMENT
AWS
Direct
Connect
YOUR
PREMISES
Digital
Websites
Big Data
Analytics
Dev and
Test
Enterprise
Apps
AWS
Internet
VPN
침입탐지 (기존 UTM appliance 활용)

22. © 2018, Amazon Web Services, Inc. or Its Affiliates. All rights reserved.
Amazon GuardDuty 소개

23. 건초더미에서 바늘 찾기
GuardDuty는 보안 인력들이 방대한 양의 로그 데이터
속에서 신속하게 위협을 탐지할 수 있도록 도와줍니다. 이를
통해, AWS환경에 대한 악의적이거나 의심스러운 행동들에
대해 신속하게 대응하고 보안을 향상시킬 수 있게 해줍니다.
Amazon GuardDuty: All Signal, No Noise

24. GuardDuty 위협 탐지 및 통지 서비스
탐지 통보
대응
정찰
인스턴스 침해
계정 침해
Amazon
GuardDuty
VPC flow logs
DNS Logs
CloudTrail Events
HIGH
MEDIUM
LOW
FindingsData Sources위협 탐지 유형들

25. Amazon GuardDuty: 특장점
• 관리형 위협 탐지 서비스
• 아키텍쳐 변경이나 성능 저하 없이 손쉽게 원클릭 활성화
• AWS 어카운트 및 리소스에 대한 상시 모니터링
• EC2 및 IAM에 관련된 위협 발견
• No Agents, no Sensors, no Network Appliances
• 글로벌 커버리지, 리젼 기반 적용
• 머신러닝 기반 이상 행동 탐지 기능 탑재
• 추가적인 보호 기능을 위한 파트너 연계
• 간단하고 효과적인 가격 체계

26. GuardDuty 멀티 어카운트 지원
어카운트2 어카운트 n
보안팀 어카운트
어카운트1
CW Events
마스터 어카운트
모든 멤버 어카운트들에 대해:
• 샘플 파인딩 생성
• 파인딩 조회 및 관리
• GuardDuty 서비스 중지
• 신뢰 IP 및 위협 IP 목록 업로드
(* 멤버 계정에 대한 GuardDuty 비활성화는 불가능. 멤버쉽을 풀고, 개별로
비활성화 처리.)
• 각 멤버 어카운트들은 개별로도 스스로 관리설정.
• 비용구조는 개별 정산 혹은 기존 통합빌링 구조를 따름.
• 멤버 어카운트의 추가는 콘솔 혹은 API를 활용.
• 멤버쉽 초청을 보낸 어카운트가 Master 어카운트가 되고, 승인하면 멤버로 조인됨.
1,000 (max)
…

27. GuardDuty Threat Detection Type Details
정찰 인스턴스 침해 어카운트 침해
인스턴스 대사과정:
• Port Probe/Accepted Comm
• Port Scan (intra-VPC)
• Brute Force Attack (IP)
• Drop Point (IP)
• Tor Communications
어카운트 대사과정:
• Tor API Call (failed)
• C&C Activity
• Malicious Domain Request
• EC2 on Threat List
• Drop Point IP
• Malicious Comms (ASIS)
• Bitcoin Mining
• Outbound DDoS
• Spambot Activity
• Outbound SSH Brute Force
• Unusual Network Port
• Unusual Traffic Volume/Direction
• Unusual DNS Requests
• Domain Generated Algorithms
• Malicious API Call (bad IP)
• Tor API Call (accepted)
• CloudTrail Disabled
• Password Policy Change
• Instance Launch Unusual
• Region Activity Unusual
• Suspicious Console Login
• Unusual ISP Caller
• Mutating API Calls (create, update,
delete)
• High Volume of Describe calls
• Unusual IAM User Added
시그니쳐 기반 상태 비유지 탐지 내역 상태유지 행위 기반 탐지 및 비정상 행동 분석
https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types.html

28. 지속적인 탐지 케이스 향상
re:Invent2017 년

29. GuardDuty 지원 데이터 소스
VPC Flow Logs
VPC flow logs
• VPC Flow Logs 분석. Flow Logs에
대한 별도의 활성화 작업은 필요
없음. 로그데이터에 대한 수집은
독립적인 복제 스트림을 통해
수행됨.
• 별도 SIEM 분석환경이 있는 경우,
기존 대로 VPC Flow Logs를
활성화하여 이용할 것을 권장.
DNS Logs
DNS Logs
• EC2인스턴스가 알려진 타겟
도메인으로 접근했던 DNS 로그 분석.
• Route 53 query log를 포함한 DNS
로그 정보. DNS 기반 분석을 위해
Route 53이 반드시 필요한 것은 아님.
CloudTrail Events
CloudTrail Events
• 관리 콘솔, SDK, CLI등을 통해 발생된
AWS API호출을 기록한 CloudTrail
history 분석.
• API호출에 이용된 소스 IP주소를
포함해서 사용자와 어카운트에 대한
식별.

30. 목록: 신뢰 및 위협 IP 목록
GuardDuty는 다음 지능형 피드 정보를 활용하고 있습니다. :
• CrowdStrike
• Proofpoint
커스텀 신뢰IP 목록과 알려진 위협 목록을 통해 Finding의 기능을 확장할 수 있습니다.
• 해당 인프라 혹은 어플리케이션과의 안전한 통신을 할 수 있는 신뢰된 IP목록을 탐지
예외처리(Whitelisting, 오탐 방지).
• 알려진 악성 IP주소들에 대한 위협 목록. GuardDuty는 위협 목록을 기반으로 finding을 생성.
Hard Limits: 어카운트 당 1개의 신뢰 목록 과 6개의 위협 목록까지 관리 가능
신뢰 IP 목록 고객 및 파트너 제공 알려진 위협 목록+

31. GuardDuty 탐지 샘플

32. GuardDuty 탐지 내역: Console / API
AWS 관리 콘솔 API / JSON 포맷
위협정보의 신속한 확인:
• 심각도
• 리전
• 횟수/빈도
• 위협 유형
• 대상 리소스
• 소스 정보
• Viewable via CloudWatch
Events
추가 분석을 위해 Finding Data를
Export:
• SIEM환경으로 전달
• 대응 방식을 코딩으로 자동화
• 추가 정보
• ARN
• Span of Time
• Resource Info
• 기본적으로 탐지 결과는
90일동안만 보존 (S3 푸쉬
권장)

33. 탐지 내역 처리: 자동화
• 탈취된 인스턴스에 대한 처리
• 유출된 AWS 자격증명에 대한 처리
자동 대응
GuardDuty CloudWatch Events Lambda
Amazon GuardDuty
Amazon
CloudWatch
CloudWatch
Event
Lambda
Function
AWS Lambda
• Lambda Function 이용:
• 현재 Security Group에서 제외하고
양방향 통신을 차단
• EBS volume(s)에 대한 스냅샷
• 보안팀에 경보

34. EC2 자동격리 Script
https://github.com/dpigliavento/aws-support-
tools/tree/master/GuardDuty/Defender
• CloudFormation template으로 간단하게 설정
• EC2가 ACTOR이고 High Severity 등급의 Finding
발생 시, 자동으로 격리된 S/G으로 변경하고
SNS를 통해 이메일 통지

35. Amazon GuardDuty 고객

36. © 2018, Amazon Web Services, Inc. or Its Affiliates. All rights reserved.
웹 방화벽

37. AZ 2AZ 1
• 고객 VPC 내 proxy형 WAF 설치 운영
• ELB 샌드위치 내 WAF 구성 (상단
external ELB는 Route53으로 필요시
대체하거나 UTM 복합 구성)
• WAF 리소스를 모니터링하여 Scaling
구성 대비 필요
VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
10.0.128.0/24 10.0.129.0/24
WAF
(Standalone)
WEB
WAS … …
WEB
WAS
10.0.2.0/24
WAF
(Standalone)
or
웹 방화벽 (Gateway 유형)

38. • Proxy형 WAF1의 변형으로 WAF 내
target 설정이 단일 IP 만 지원하는
솔루션
• WEB 서버를 WAF 타겟으로 하고
WEB/WAS 구간을 was bridge로
구성(internal ELB 구성도 OK)
• WAF 상단 구성은 ELB, Route53 또는
WEB 서버, UTM 선택 구성 가능AZ 2AZ 1
VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
WAF
(Standalone)
WEB
… …WEB
10.0.2.0/24
WAF
(Standalone)
WAS
… …WAS
or
웹 방화벽 (Gateway 유형2)

39. • 직접 WAF 운용 부담없이 손쉬운
설정만으로 서비스 이용
• 웹서비스의 보안성을 손쉽게 높임
• 사용자 요청 데이타가 1차로 SaaS형
WAF시스템으로 유입되어 data
기밀성에 대해 일부 고객층 거부감
• SaaS WAF <-> Web Ser.간 network
환경 확인 필요 ( 같은 AWS Region
이면 OK )
WEB
WAS
WEB
WAS
www.example.c
om
Name
Server
WAF
(monitor
&
filter)
SaaS형 WAF
User
nslookup
www.example.com
Safe
Traffic
웹 방화벽 (SaaS 유형)

40. WEB
WAS
WEB
WAS
www.a.com WAF on CloudFront
edges
users
Safe
Traffic
Edge Location
Edge Location
…
edges
WAF
WAF
hackers
Bad bots
legitimate
traffic
SQL
Injection,
XSS, ..
site
scripting
• CDN edge단에서 WAF가
monitor & filter처리
• 분산된 edge에서 처리되어
scaling에 대한 부담 없음
• SQL injection, XSS 룰셋 기본
제공
• CDN 사용이 전제됨
웹 방화벽 (CDN 유형)

41. © 2018, Amazon Web Services, Inc. or Its Affiliates. All rights reserved.
AWS WAF 소개

42. • 제대로 구축하기가 어렵고 시간이 많이 걸림
• 오탐율이 많은 규칙들
• 트래픽이 폭증할때 확장에 한계
• 자동화를 위한 API 부족
• 유지보수에 과다한 노력 필요
기존 웹 방화벽(WAF)의 문제

43. AWS AWF의 장점
실용적인 보안을
손쉽게 구성
유연한 룰셋 구성 DevOps 시스템과
통합이 용이
그리고 AWS의 장점인 ‘pay as you go’ 가격 정책

44. WAF 유형
Pure Play WAF
• Imperva*
• Alert Logic
• Barracuda*
• WAPPLES – Penta
Security
CDN WAF
• Akamai Kona
• CloudFlare**
• EdgeCast
• Incapsula**
• LeaseWeb
Load Balancer WAF
• F5 Networks*
• Citrix*
• Barracuda*
UTM WAF
• Sophos*
• Fortinet*

45. CloudFront/ALB 워크로드 보호
WEB/WAS
www.a.com
CloudFront edges
사용자
Safe
Traffic
Edge Location
Edge Location
WAF
WAF
해커
악성 봇
적법 접근
SQL인젝션,
XSS, ..
WEB/WAS
WAF
Classic ELB
Application Load
Balancer
사용자
적법 접근

46. 1. Web Access Control Lists (WebACL)
• ‘정책’, ‘시나리오’, Rule들의 집합
• 각 Rule 별로 처리방법(Action) 설정
2. Rules
• condition들의 집합
3. Condition
• 문자열, 크기제한 정규식 패턴
• SQLi、XSS
• IP 주소대역, 지리적인 위치(국가)
4. Action
• Allow/Block/Count
5. Resource
• CloudFront Distribution
• ALB Endpoint
4
1 3 1
1 3 1
1 3 1
3 1
4
1 3 1
1 3 1
3 1
22
필터링 구조

47. WebACL의 모든 부분을 재사용 가능.
CloudFront Distribution / ALB Endpoint 를 보호 리소스로 설정
필터링 구조 : Resource
CloudFront
distributions
Web ACL #1
Web ACL #2
공유된 블랙리스트

48. 1) WebACL 생성
2) 필요한 Conditions (IP, string, SQLi 등) 생성
3) 필요한 Rules 생성 및 Action/Order 설정
4) 생성된 WebACL을 CloudFront 혹은 ALB 리소스에 연계
5) 리뷰 및 적용
필터링 구조 : 구성 절차

49. 복수개의 필터로 구성.
지원되는 Conditions:
• IP address Match
• Geographic Match
• String Match
• Regex Match
• Size Constraints
• SQLi Match
• XSS Match
한 Condition 내의 필터들 간에는 “OR” 조건
필터링 구조 : Conditions
OR
OR
OR

50. AWS WAF 용 OWASP 상위 10 방어 룰셋
AWS WAF에 OWASP top 10 대응을 위한 rule/condition을 만들어주는
CloudFortmation template 및 whitepaper 발행
Whitepaper :
https://d0.awsstatic.com/whitepapers/Security/aws-waf-owasp.pdf
CloudFormation template :
https://s3.us-east-2.amazonaws.com/awswaf-owasp/owasp_10_base.yml

51. AWS WAF Security Automation
https://docs.aws.amazon.com/ko_kr/solutions/latest/aws-waf-security-automations/template.html

52. Managed rule for AWS WAF
1 Alert Logic Alert Logic's Managed Rules for AWS WAF Virtual Patches for WordPress
2 F5 F5 Web Application CVE Signatures For AWS WAF
3 F5 AWS WAF - Web Exploits Rules by F5
4 F5 F5 Bot Detection Signatures For AWS WAF
5 Fortinet Fortinet Managed Rules for AWS WAF - Malicious Bots
6 Fortinet Fortinet Managed Rules for AWS WAF - SQLi/XSS
7 Fortinet Fortinet Managed Rules for AWS WAF - General and Known Exploits
8 Fortinet Fortinet Managed Rules for AWS WAF - Complete OWASP Top 10
9 Imperva Imperva - Managed Rules for Wordpress Protection on AWS WAF
10 Imperva Imperva - Managed Rules for IP Reputation on AWS WAF
11 Trend Micro Trend Micro Managed Rules for AWS WAF - WebServer (Apache, Nginx)
12 Trend Micro Trend Micro Managed Rules for AWS WAF - Content Management System (CMS)
13 TrustWave Trustwave Managed Rules for AWS WAF - ModSecurity Virtual Patching
14 TrustWave Trustwave Managed Rules for AWS WAF - CMS Virtual Patches
AWS Marketplace 통해 3rd party 가 등록한 AWS WAF 용 rule를 선택 사용

53. AWS Firewall manager – new!
AWS Firewall Manager는 여러 account의 AWS WAF 룰을
중앙에서 설정하고 관리할 수 있는 서비스입니다.
Firewall Manager을 사용하여, 여러분은 한번에 WAF
룰들을 여러 account에 걸친 ALB와 CloudFront의
distribution 들에 배포할 수 있습니다.

54. AWS Firewall manager – new!
간단한 관리
AWS Organization과 통합
글로벌 룰과 특정 account
전용 룰들을 중앙에서 관리
강력한 규제 적용
필수 룰들을 전체
Organization에 적용
신규 account 및 application
생성 시에도 적용
중앙에서의 가시성
Organization 내 모든 WAF
위협들의 가시성 확보
WAF 상태 감사를 위한 규제
대시보드
Organization 내 정보보안팀에서
각 account의 담당자를 대신하여
WAF 운영 관리

55. 보안관제
Requirement AWS AWS Marketplace
Managed Security
Service Partner
방화벽
방화벽: NACL, Security Group
방화벽 로그: VPC Flow Logs
Hosted Agent, Gateway 형
TrendMicro Deep Security
Sophos UTM, PaloAlto NGFW,
CheckPoint vSEC, Barracuda NGFW,
FortiGate-VM, Junipher vSRX
CyberMethod, PCS,
MSP – 메가존,
GS네오텍, 베스핀 (SG,
NACL)
Ahnlab, SKinfosec
- 원격 관제
- 3rd party 방화벽
침입탐지
GaurdDuty (AI기반 위협 탐지)
웹 방화벽
AWS WAF Gateway, WAF on CDN, SaaS 형
CloudBric, Wapples, WIWAF, Barracuda
WAF, SecureSphere WAF AV1000
웹 쉘
ShellMonitor, Anti-WebShell
DDoS 대응
DDoS Best Practices
AWS Shield
주로 SaaS 형
DDoS툴: Incapsula, aiProtect
DDoS툴 포함 관제: IndusGuard Premiu
m
AWS Shield Advanced

56. © 2018, Amazon Web Services, Inc. or Its Affiliates. All rights reserved.
AWS Summit 모바일 앱과 QR코드를
통해 강연 평가 및 설문 조사에 참여해
주시기 바랍니다.
내년 Summit을 만들 여러분의 소중한
의견 부탁 드립니다.
#AWSSummit 해시태그로 소셜 미디어에 여러분의 행사
소감을 올려주세요.
발표 자료 및 녹화 동영상은 AWS Korea 공식 소셜 채널로
공유될 예정입니다.
여러분의 피드백을 기다립니다!

57. 감사합니다