AWS 에서 가이드하는 시큐리티 대응 전체과정
Identify (식별)
시큐리티의 대상이 될 리소스를 식별하여 관리하는 단계(여기서 리소스라함은 EC2 나 RDS 등의 인스턴스를 하나의 예로 들 수 있다)
AWS 에서는 SSM 과 Config 를 활용하여 리소스를 식별하고 관리할 수 있다.
Protect (방어)
식별되어 관리되는 리소스들 중에 방어해야할 리소스들을 선별하여 모든 레이어에서 보호
네트워크(VPC) 상에서 전송되는 데이터를 안전하게 보호하거나 접속경로를 차단하는 등의 설정, AWS Shield 를 통한 DDoS 공격 방어, WAF 를 통한 웹방화벽, KMS 를 통한 데이터 암호화 키 보호, IAM 을 통한 권한 관리 등... 많은 AWS 서비스들이 방어 과정에서 활용될 수 있다.
Detect (검출)
방어를 했다고 하더라도 간혹 시큐리티 설정 누락 혹은 관리 상의 허점 등으로 인해 시큐리티 사고가 발생할 수 있다.
이런 경우에는 검출되었다는 사실 자체를 깨닫기가 어렵다.
→ 이걸 좀 더 쉽고 효과적으로 검출할 수 있도록 도와주기 위해 도와주는 서비스 들 중에 하나가 GuardDuty
Respond (반응)
시큐리티 사고가 발생했다는 사실을 알게되었다고 하더라도(검출 성공), 그 근본 원인을 조사하는 등의 "Respond(반응)" 과정이 진행되는 것이 일반적
루트원인을 규명하거나 자동화된 프로세스로 원래 상태로 돌려놓거나 혹은 둘다 동시에 진행하는 등의 과정을 생각할 수 있다.
AWS 에서는 시큐리티 사고의 루트 원인을 좀 더 쉽게 규명할 수 있도록 2019년 re:Invent 에서 Amazon Detective 라는 서비스를 새롭게 출시하기도 했다.
Recover (복구)
시큐리티 사고의 조사과정이 끝났다면 원상태로 복구시킴과 동시에 추가적인 시큐리티 설정을 하게된다.
이를 위해 평소에 백업을 해놔야 함, 백업을 위한 서비스들로는 각종 서비스들의 Snapshot 이나 Glacier 가 있다.
How to get started with security response automation on AWS | Amazon Web Services
Amazon GuardDuty 입문부터 실전까지 바로 적용해봅시다 | DevelopersIO
Identity and access management; 신원 및 접근 관리
ID와 패스워드를 종합적으로 관리해 주는 역할 기반의 사용자 계정 관리 솔루션
개체 신원을 검증하고 확인된 신원에 근거하여 정확한 수준의 접근 권한을 부여한다.
ID 도용이나 분실로 인한 보안 사고에 대비하며 일반 관리자에게는 사용자 역할에 따른 계정 관리를, 사용자에게는 자신의 패스워드에 대한 자체 관리 기능을 제공한다.
또한 시스템과 각종 자원에 대해 고객, 기업 내 사용자, 관리자 등의 접근을 제어할 수 있어, 한번의 ID와 패스워드 입력으로 다양한 시스템에 접속할 수 있도록 SSO나 ID에 따라 사용 권한을 차등적으로 부여하는 EAM을 확장, 보완한것이다.
Extranet Access Management