다양한 솔루션으로 만들어가는 AWS 네트워크 보안::이경수::AWS Summit Seoul 2018

© 2018, Amazon Web Services, Inc. or Its Affiliates. All rights reserved.
이경수
솔루션즈 아키텍트 / Amazon Web Services
다양한 솔루션으로 만들어가는
AWS 네트워크 보안

발표 순서
네트워크 구성
침입/위협 탐지
웹방화벽
보안 관제

네트워크 구성
(방화벽 / 사설망)

Amazon VPC - 격리된 사설 네트워크가용영역A
가용영역B
AWS Virtual Private Cloud
• 논리적으로 분리된 일종의
가상 사설망을 제공
• VPC상에서 사설 IP대역을
선택
• 적절하게 서브넷팅하고
EC2 인스턴스를 배치
AWS network security
• AWS 는 IP Spoofing과 같은
레이어 2 공격 차단
• 소유하지 않은 EC2인스턴스에
대한 스니핑 불가
• 외부와의 모든 라우팅과
연결을 통제

Route Table
Destination Target
10.1.0.0/16 local
0.0.0.0/0 igw
Availability Zone A Availability Zone B
Subnet: 10.1.1.0/24
Internet Gateway
VPC CIDR: 10.1.0.0 /16
Internet
Subnet: 10.1.10.0/24
EIP EIP
Amazon VPC - 격리된 사설 네트워크

AWS 방화벽 – 보안그룹 ( Security Group )
§ 보안그룹
§ 인스턴스 단위 적용
§ 적용포인트 : 인바운드/아웃 바운드
§ Protocol : 모든 인터넷 프로토콜
지원
§ IP/Port 에 대한 접속 허용/차단
§ Stateful 방화벽
보안그룹

AWS 방화벽 - Network ACL(NACL)
Availability Zone
‘A’
Availability Zone
‘B’
Network ACL
• 서브넷 단위 적용
• Stateless 방화벽
• DENY 규칙 적용 가능

AWS 방화벽 - Security Group vs Network ACL
Security Group Network ACL
인스턴스 단위
인스턴스에 개별 적용
서브넷 단위
서브넷 내 인스턴스에 자동 적용
allow 규칙 만 allow / deny 규칙
stateful : return 트래픽 자동 허용 stateless : return 트래픽에 대해 allow
규칙 설정 필요
모든 규칙을 확인 후 판단 순서대로 규칙을 확인. allow/deny 규칙
만족 시 중단.

라우팅
테이블
라우팅
테이블
인터넷
게이트웨이
가상 사설
게이트웨이
가상
라우터
VPC 10.1.0.0/16
AWS 방화벽

h
da
ZT
18 f S Z O
: AED
2
/0c
M c
beO
4C LED /
NQ
NQ
NQ
; A E
ED D gPa Z O
4
C LED /
4
: ;B D gPa O
; A E
4
MySQL
1 6 0
:
4 3 :E D
4
단일 VPC 기반 보안 구성 예시

단일 VPC 기반 보안 구성 예시 – Security Group
Inbound 구성 예시 (Outbound는 All traffic : any open)
ALB
WEB
Bastion
sg-7367aa3a
sg-bb30fdf2

단일 VPC 기반 보안 구성 예시 – NACL
Public Subnet 용 NACL : default - all allow

단일 VPC 기반 보안 구성 예시 – NACL
Private Subnet 용 NACL

Security Group / Network ACL 한도
Security Group의 한도
• 네트워크 인터페이스 당 security group : 5개 (최대 10개)
• Security group 별 In 또는 Outbound 규칙 : 각 50개 (증설 가능)
그러나 1 * 2의 값은 최대 250을 초과할 수 없음
Network ACL의 한도
NACL당 In 또는 Outbound 규칙 : 각 20개 (최대 40개)

침입/위협 탐지
(UTM : IDS/IPS/FW/VPN, Amazon GuardDuty)

IDS
Corporate Data center
Service Servers
Span/Tab
침입탐지 - 기존 데이타센터
• 트래픽 경로를 벗어나 구성
• 모니터링(스캐닝) 이 필요한
트래픽에 대한 선별적 포워딩

대상 subnet 내 트래픽이 UTM 인스턴스를
경유하도록 Route Table 설정
Network Security관련된 설정을 단일
UTM솔루션에서 관리
성능 병목점이나 Single Failure Point 여부
확인 필요
AWS VPC 제공 기능(pub/pri subnet, nat, nacl,
…) 활용이 제한적임
침입탐지 (UTM Gateway 유형)
VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
10.0.128.0/24 10.0.129.0/24
…
Firewall
IDS/IPS
...
UTM
WEB
WAS … …
(10.0.0.0/16 : Local)
…
0.0.0.0/0 : UTM
10.0.0.0/16 : Local
0.0.0.0/0 : IGW
…
…
WEB
WAS

VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
10.0.128.0/24 10.0.129.0/24
…
UTM
(Active)
WEB
WAS …
DB
…
(10.0.0.0/16 : Local)
…
0.0.0.0/0 : Firewall
10.0.0.0/16 : Local
0.0.0.0/0 : IGW
…
UTM
(Stand
-by)
Conf. Sync.
Move EIP or
ENI
A-S형태로 구성 후 장애 발생 시
EIP나 ENI 를 Standby 인스턴스로
맵핑
A-S 가 단일 subnet을 벗어나 az간
구성이 가능한지, A-S 절체 시간이
얼마나 소요되는지 확인 필요
침입탐지 (UTM Gateway A-S 유형)

VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
10.0.128.0/24 10.0.129.0/24
UTM
(Standalone)
WEB
WAS … …
(10.0.0.0/16 : Local)
…
0.0.0.0/0 : Firewall
10.0.0.0/16 : Local
0.0.0.0/0 : IGW
…
WEB
WAS
10.0.2.0/24
UTM
(Standalone)
AZ 1 AZ 2
StandAlone 타입으로 az간 구성 후
ELB나 Route53으로 이중화 구성
관리대상 서버의 subnet이
참조하는 route table 셋팅을
UTM으로 해야함
or
침입탐지 (UTM Gateway A-A 유형)

대상 인스턴스에 agent 설치 후
이를 관리
Scalability , Availability 장점
AWS Security Group, NACL과 UTM
F/W기능을 조합하여 관리하여야 함
침입탐지 (UTM Agent 유형 – Hosted IDS)
VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
10.0.128.0/24 10.0.129.0/24
…
Firewall
IDS/IPS
AV/Malwar
e...
UTM
Manager
WAS
… Batch
…
10.0.0.0/16 : Local
0.0.0.0/0 : NAT
…
10.0.0.0/16 : Local
0.0.0.0/0 : IGW
…
10.0.2.0/24
WEB
…

YOUR AWS ENVIRONMENT
AWS
Direct
Connect
YOUR
PREMISES
Digital
Websites
Big Data
Analytics
Dev and
Test
Enterprise
Apps
AWS
Internet
VPN
침입탐지 (기존 UTM appliance 활용)

Amazon GuardDuty 소개

건초더미에서 바늘 찾기
GuardDuty는 보안 인력들이 방대한 양의 로그 데이터
속에서 신속하게 위협을 탐지할 수 있도록 도와줍니다. 이를
통해, AWS환경에 대한 악의적이거나 의심스러운 행동들에
대해 신속하게 대응하고 보안을 향상시킬 수 있게 해줍니다.
Amazon GuardDuty: All Signal, No Noise

GuardDuty 위협 탐지 및 통지 서비스
탐지 통보
대응
정찰
인스턴스 침해
계정 침해
Amazon
GuardDuty
VPC flow logs
DNS Logs
CloudTrail Events
HIGH
MEDIUM
LOW
FindingsData Sources위협 탐지 유형들

Amazon GuardDuty: 특장점
• 관리형 위협 탐지 서비스
• 아키텍쳐 변경이나 성능 저하 없이 손쉽게 원클릭 활성화
• AWS 어카운트 및 리소스에 대한 상시 모니터링
• EC2 및 IAM에 관련된 위협 발견
• No Agents, no Sensors, no Network Appliances
• 글로벌 커버리지, 리젼 기반 적용
• 머신러닝 기반 이상 행동 탐지 기능 탑재
• 추가적인 보호 기능을 위한 파트너 연계
• 간단하고 효과적인 가격 체계

GuardDuty 멀티 어카운트 지원
어카운트2 어카운트 n
보안팀 어카운트
어카운트1
CW Events
마스터 어카운트
모든 멤버 어카운트들에 대해:
• 샘플 파인딩 생성
• 파인딩 조회 및 관리
• GuardDuty 서비스 중지
• 신뢰 IP 및 위협 IP 목록 업로드
(* 멤버 계정에 대한 GuardDuty 비활성화는 불가능. 멤버쉽을 풀고, 개별로
비활성화 처리.)
• 각 멤버 어카운트들은 개별로도 스스로 관리설정.
• 비용구조는 개별 정산 혹은 기존 통합빌링 구조를 따름.
• 멤버 어카운트의 추가는 콘솔 혹은 API를 활용.
• 멤버쉽 초청을 보낸 어카운트가 Master 어카운트가 되고, 승인하면 멤버로 조인됨.
1,000 (max)
…

GuardDuty Threat Detection Type Details
정찰 인스턴스 침해 어카운트 침해
인스턴스 대사과정:
• Port Probe/Accepted Comm
• Port Scan (intra-VPC)
• Brute Force Attack (IP)
• Drop Point (IP)
• Tor Communications
어카운트 대사과정:
• Tor API Call (failed)
• C&C Activity
• Malicious Domain Request
• EC2 on Threat List
• Drop Point IP
• Malicious Comms (ASIS)
• Bitcoin Mining
• Outbound DDoS
• Spambot Activity
• Outbound SSH Brute Force
• Unusual Network Port
• Unusual Traffic Volume/Direction
• Unusual DNS Requests
• Domain Generated Algorithms
• Malicious API Call (bad IP)
• Tor API Call (accepted)
• CloudTrail Disabled
• Password Policy Change
• Instance Launch Unusual
• Region Activity Unusual
• Suspicious Console Login
• Unusual ISP Caller
• Mutating API Calls (create, update,
delete)
• High Volume of Describe calls
• Unusual IAM User Added
시그니쳐 기반 상태 비유지 탐지 내역 상태유지 행위 기반 탐지 및 비정상 행동 분석
https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types.html

지속적인 탐지 케이스 향상
re:Invent2017 년

GuardDuty 지원 데이터 소스
VPC Flow Logs
VPC flow logs
• VPC Flow Logs 분석. Flow Logs에
대한 별도의 활성화 작업은 필요
없음. 로그데이터에 대한 수집은
독립적인 복제 스트림을 통해
수행됨.
• 별도 SIEM 분석환경이 있는 경우,
기존 대로 VPC Flow Logs를
활성화하여 이용할 것을 권장.
DNS Logs
DNS Logs
• EC2인스턴스가 알려진 타겟
도메인으로 접근했던 DNS 로그 분석.
• Route 53 query log를 포함한 DNS
로그 정보. DNS 기반 분석을 위해
Route 53이 반드시 필요한 것은 아님.
CloudTrail Events
CloudTrail Events
• 관리 콘솔, SDK, CLI등을 통해 발생된
AWS API호출을 기록한 CloudTrail
history 분석.
• API호출에 이용된 소스 IP주소를
포함해서 사용자와 어카운트에 대한
식별.

목록: 신뢰 및 위협 IP 목록
GuardDuty는 다음 지능형 피드 정보를 활용하고 있습니다. :
• CrowdStrike
• Proofpoint
커스텀 신뢰IP 목록과 알려진 위협 목록을 통해 Finding의 기능을 확장할 수 있습니다.
• 해당 인프라 혹은 어플리케이션과의 안전한 통신을 할 수 있는 신뢰된 IP목록을 탐지
예외처리(Whitelisting, 오탐 방지).
• 알려진 악성 IP주소들에 대한 위협 목록. GuardDuty는 위협 목록을 기반으로 finding을 생성.
Hard Limits: 어카운트 당 1개의 신뢰 목록 과 6개의 위협 목록까지 관리 가능
신뢰 IP 목록 고객 및 파트너 제공 알려진 위협 목록+

GuardDuty 탐지 내역: Console / API
AWS 관리 콘솔 API / JSON 포맷
위협정보의 신속한 확인:
• 심각도
• 리전
• 횟수/빈도
• 위협 유형
• 대상 리소스
• 소스 정보
• Viewable via CloudWatch
Events
추가 분석을 위해 Finding Data를
Export:
• SIEM환경으로 전달
• 대응 방식을 코딩으로 자동화
• 추가 정보
• ARN
• Span of Time
• Resource Info
• 기본적으로 탐지 결과는
90일동안만 보존 (S3 푸쉬
권장)

탐지 내역 처리: 자동화
• 탈취된 인스턴스에 대한 처리
• 유출된 AWS 자격증명에 대한 처리
자동 대응
GuardDuty CloudWatch Events Lambda
Amazon GuardDuty
Amazon
CloudWatch
CloudWatch
Event
Lambda
Function
AWS Lambda
• Lambda Function 이용:
• 현재 Security Group에서 제외하고
양방향 통신을 차단
• EBS volume(s)에 대한 스냅샷
• 보안팀에 경보

EC2 자동격리 Script
https://github.com/dpigliavento/aws-support-
tools/tree/master/GuardDuty/Defender
• CloudFormation template으로 간단하게 설정
• EC2가 ACTOR이고 High Severity 등급의 Finding
발생 시, 자동으로 격리된 S/G으로 변경하고
SNS를 통해 이메일 통지

웹 방화벽

AZ 2AZ 1
• 고객 VPC 내 proxy형 WAF 설치 운영
• ELB 샌드위치 내 WAF 구성 (상단
external ELB는 Route53으로 필요시
대체하거나 UTM 복합 구성)
• WAF 리소스를 모니터링하여 Scaling
구성 대비 필요
VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
10.0.128.0/24 10.0.129.0/24
WAF
(Standalone)
WEB
WAS … …
WEB
WAS
10.0.2.0/24
WAF
(Standalone)
or
웹 방화벽 (Gateway 유형)

• Proxy형 WAF1의 변형으로 WAF 내
target 설정이 단일 IP 만 지원하는
솔루션
• WEB 서버를 WAF 타겟으로 하고
WEB/WAS 구간을 was bridge로
구성(internal ELB 구성도 OK)
• WAF 상단 구성은 ELB, Route53 또는
WEB 서버, UTM 선택 구성 가능AZ 2AZ 1
VPC 10.0.0.0/16
Public Subnets
Private Subnets
10.0.1.0/24
WAF
(Standalone)
WEB
… …WEB
10.0.2.0/24
WAF
(Standalone)
WAS
… …WAS
or
웹 방화벽 (Gateway 유형2)

• 직접 WAF 운용 부담없이 손쉬운
설정만으로 서비스 이용
• 웹서비스의 보안성을 손쉽게 높임
• 사용자 요청 데이타가 1차로 SaaS형
WAF시스템으로 유입되어 data
기밀성에 대해 일부 고객층 거부감
• SaaS WAF <-> Web Ser.간 network
환경 확인 필요 ( 같은 AWS Region
이면 OK )
WEB
WAS
WEB
WAS
www.example.c
om
Name
Server
WAF
(monitor
&
filter)
SaaS형 WAF
User
nslookup
www.example.com
Safe
Traffic
웹 방화벽 (SaaS 유형)

WEB
WAS
WEB
WAS
www.a.com WAF on CloudFront
edges
users
Safe
Traffic
Edge Location
Edge Location
…
edges
WAF
WAF
hackers
Bad bots
legitimate
traffic
SQL
Injection,
XSS, ..
site
scripting
• CDN edge단에서 WAF가
monitor & filter처리
• 분산된 edge에서 처리되어
scaling에 대한 부담 없음
• SQL injection, XSS 룰셋 기본
제공
• CDN 사용이 전제됨
웹 방화벽 (CDN 유형)

AWS WAF 소개

• 제대로 구축하기가 어렵고 시간이 많이 걸림
• 오탐율이 많은 규칙들
• 트래픽이 폭증할때 확장에 한계
• 자동화를 위한 API 부족
• 유지보수에 과다한 노력 필요
기존 웹 방화벽(WAF)의 문제

AWS AWF의 장점
실용적인 보안을
손쉽게 구성
유연한 룰셋 구성 DevOps 시스템과
통합이 용이
그리고 AWS의 장점인 ‘pay as you go’ 가격 정책

WAF 유형
Pure Play WAF
• Imperva*
• Alert Logic
• Barracuda*
• WAPPLES – Penta
Security
CDN WAF
• Akamai Kona
• CloudFlare**
• EdgeCast
• Incapsula**
• LeaseWeb
Load Balancer WAF
• F5 Networks*
• Citrix*
• Barracuda*
UTM WAF
• Sophos*
• Fortinet*

CloudFront/ALB 워크로드 보호
WEB/WAS
www.a.com
CloudFront edges
사용자
Safe
Traffic
Edge Location
Edge Location
WAF
WAF
해커
악성 봇
적법 접근
SQL인젝션,
XSS, ..
WEB/WAS
WAF
Classic ELB
Application Load
Balancer
사용자
적법 접근

1. Web Access Control Lists (WebACL)
• ‘정책’, ‘시나리오’, Rule들의 집합
• 각 Rule 별로 처리방법(Action) 설정
2. Rules
• condition들의 집합
3. Condition
• 문자열, 크기제한 정규식 패턴
• SQLi、XSS
• IP 주소대역, 지리적인 위치(국가)
4. Action
• Allow/Block/Count
5. Resource
• CloudFront Distribution
• ALB Endpoint
4
1 3 1
1 3 1
1 3 1
3 1
4
1 3 1
1 3 1
3 1
22
필터링 구조

WebACL의 모든 부분을 재사용 가능.
CloudFront Distribution / ALB Endpoint 를 보호 리소스로 설정
필터링 구조 : Resource
CloudFront
distributions
Web ACL #1
Web ACL #2
공유된 블랙리스트

1) WebACL 생성
2) 필요한 Conditions (IP, string, SQLi 등) 생성
3) 필요한 Rules 생성 및 Action/Order 설정
4) 생성된 WebACL을 CloudFront 혹은 ALB 리소스에 연계
5) 리뷰 및 적용
필터링 구조 : 구성 절차

복수개의 필터로 구성.
지원되는 Conditions:
• IP address Match
• Geographic Match
• String Match
• Regex Match
• Size Constraints
• SQLi Match
• XSS Match
한 Condition 내의 필터들 간에는 “OR” 조건
필터링 구조 : Conditions
OR
OR
OR

AWS WAF 용 OWASP 상위 10 방어 룰셋
AWS WAF에 OWASP top 10 대응을 위한 rule/condition을 만들어주는
CloudFortmation template 및 whitepaper 발행
Whitepaper :
https://d0.awsstatic.com/whitepapers/Security/aws-waf-owasp.pdf
CloudFormation template :
https://s3.us-east-2.amazonaws.com/awswaf-owasp/owasp_10_base.yml

AWS WAF Security Automation
https://docs.aws.amazon.com/ko_kr/solutions/latest/aws-waf-security-automations/template.html

Managed rule for AWS WAF
1 Alert Logic Alert Logic's Managed Rules for AWS WAF Virtual Patches for WordPress
2 F5 F5 Web Application CVE Signatures For AWS WAF
3 F5 AWS WAF - Web Exploits Rules by F5
4 F5 F5 Bot Detection Signatures For AWS WAF
5 Fortinet Fortinet Managed Rules for AWS WAF - Malicious Bots
6 Fortinet Fortinet Managed Rules for AWS WAF - SQLi/XSS
7 Fortinet Fortinet Managed Rules for AWS WAF - General and Known Exploits
8 Fortinet Fortinet Managed Rules for AWS WAF - Complete OWASP Top 10
9 Imperva Imperva - Managed Rules for Wordpress Protection on AWS WAF
10 Imperva Imperva - Managed Rules for IP Reputation on AWS WAF
11 Trend Micro Trend Micro Managed Rules for AWS WAF - WebServer (Apache, Nginx)
12 Trend Micro Trend Micro Managed Rules for AWS WAF - Content Management System (CMS)
13 TrustWave Trustwave Managed Rules for AWS WAF - ModSecurity Virtual Patching
14 TrustWave Trustwave Managed Rules for AWS WAF - CMS Virtual Patches
AWS Marketplace 통해 3rd party 가 등록한 AWS WAF 용 rule를 선택 사용

AWS Firewall manager – new!
AWS Firewall Manager는 여러 account의 AWS WAF 룰을
중앙에서 설정하고 관리할 수 있는 서비스입니다.
Firewall Manager을 사용하여, 여러분은 한번에 WAF
룰들을 여러 account에 걸친 ALB와 CloudFront의
distribution 들에 배포할 수 있습니다.

AWS Firewall manager – new!
간단한 관리
AWS Organization과 통합
글로벌 룰과 특정 account
전용 룰들을 중앙에서 관리
강력한 규제 적용
필수 룰들을 전체
Organization에 적용
신규 account 및 application
생성 시에도 적용
중앙에서의 가시성
Organization 내 모든 WAF
위협들의 가시성 확보
WAF 상태 감사를 위한 규제
대시보드
Organization 내 정보보안팀에서
각 account의 담당자를 대신하여
WAF 운영 관리

보안관제
Requirement AWS AWS Marketplace
Managed Security
Service Partner
방화벽
방화벽: NACL, Security Group
방화벽 로그: VPC Flow Logs
Hosted Agent, Gateway 형
TrendMicro Deep Security
Sophos UTM, PaloAlto NGFW,
CheckPoint vSEC, Barracuda NGFW,
FortiGate-VM, Junipher vSRX
CyberMethod, PCS,
MSP – 메가존,
GS네오텍, 베스핀 (SG,
NACL)
Ahnlab, SKinfosec
- 원격 관제
- 3rd party 방화벽
침입탐지
GaurdDuty (AI기반 위협 탐지)
웹 방화벽
AWS WAF Gateway, WAF on CDN, SaaS 형
CloudBric, Wapples, WIWAF, Barracuda
WAF, SecureSphere WAF AV1000
웹 쉘
ShellMonitor, Anti-WebShell
DDoS 대응
DDoS Best Practices
AWS Shield
주로 SaaS 형
DDoS툴: Incapsula, aiProtect
DDoS툴 포함 관제: IndusGuard Premiu
m
AWS Shield Advanced

AWS Summit 모바일 앱과 QR코드를
통해 강연 평가 및 설문 조사에 참여해
주시기 바랍니다.
내년 Summit을 만들 여러분의 소중한
의견 부탁 드립니다.
#AWSSummit 해시태그로 소셜 미디어에 여러분의 행사
소감을 올려주세요.
발표 자료 및 녹화 동영상은 AWS Korea 공식 소셜 채널로
공유될 예정입니다.
여러분의 피드백을 기다립니다!

다양한 솔루션으로 만들어가는 AWS 네트워크 보안::이경수::AWS Summit Seoul 2018

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a 다양한 솔루션으로 만들어가는 AWS 네트워크 보안::이경수::AWS Summit Seoul 2018

Semelhante a 다양한 솔루션으로 만들어가는 AWS 네트워크 보안::이경수::AWS Summit Seoul 2018 (20)

Mais de Amazon Web Services Korea

Mais de Amazon Web Services Korea (20)

다양한 솔루션으로 만들어가는 AWS 네트워크 보안::이경수::AWS Summit Seoul 2018