온프리미스 인프라와 실무에서 클라우드 인프라 보안 항목 이해

클라우드에 대해 공부해보고자 인프런의 "AWS 클라우드 서비스 인프라 구축 이해와 해킹, 보안" 강의를 수강하면서 필기한 내용입니다.

 

한국인터넷진흥원(KISA) → 클라우드 보안인증제 자료실 → 클라우드 보안과 관련된 여러 자료들 확인 가능

AWS 서비스 침투 테스트 정책

허용 서비스

허용 서비스에 나열된 8가지 서비스에 대해 사전 승인 없이 AWS 인프라에 대한 보안 평가 또는 침투 테스트 수행이 가능

• Amazon EC2 인스턴스(=서버), NAT 게이트웨이 및 Elastic Load Balancer
• Amazon RDS
  • Amazon관련 DB
• Amazon CloudFront
• Amazon Aurora
  • DB 관련
• Amazon API Gateway
• AWS Lambda 및 Lambda Edge 기능
• Amazon Lightsail 리소스
• Amazon Elasic Beanstalk 환경

금지 활동

다른 사용자들에게도 영향을 줄 수 있는 행위는 해서는 안된다.

• Amazon Route 53 Hosted Zones를 통한 DNS zone walking
• 서비스 거부(Dos), 분산 서비스 거부(DDos), 시뮬레이트 Dos, 시뮬레이트 DDOS
• 포트 플러딩
• 프로토콜 플러딩
• 요청 플러딩(로그인 요청 플러딩, API 요청 플러딩)

클라우드 환경에서의 취약점 점검 항목 사례

온프레미스, 클라우드 취약점 점검 공통 항목

• 서버
  • 계정 관리
  • 시스템 및 서비스 관리
  • 파일 관리
  • 접근 통제
  • 감사 및 패치 관리
• WEB/WAS
  • 계정 관리
  • 보안 설정
  • 취약점 관리
  • 보안 패치
• DBMS
  • 계정 관리
  • 로그 관리
  • 보안 설정
  • 접근 통제
  • 감사 및 패치 관리
• 네트워크
  • 계정 관리
  • 로그 관리
  • 보안 설정
  • 접근 통제

클라우드 환경에 특화된 취약점 점검 항목

• 계정/사용자 관리
  • AWS Account와 IAM 서비스를 통한 사용자 및 정책 관리
• 데이터 보호
  • AWS 서비스에 대한 저장/통신 시 암호화
• 키 관리
  • AWS KMS 또는 타 솔루션을 통한 암호화 키 보호
• 네트워크 설정
  • AWS Cloud 환경 고유의 네트워크 서비스 접근 통제
• 로깅 및 모니터링
  • Cloud Trail 등을 통해 로그 설정 및 모니터링
• 서비스 관리
  • S3, RDS, EC2등 AWS 서비스 관리