에 의해 발견된 보안 문제 해결 GuardDuty - Amazon GuardDuty

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

에 의해 발견된 보안 문제 해결 GuardDuty

Amazon GuardDuty에서 잠재적 보안 문제를 나타내는 결과를 생성합니다. GuardDuty 이번 릴리스에서 잠재적인 보안 문제는 AWS 환경에서 손상된 EC2 인스턴스나 손상된 자격 증명 세트를 나타냅니다. 다음 섹션에서는 이러한 시나리오에 대한 권장 해결 단계를 설명합니다. 대체 해결 시나리오가 있는 경우, 해당 특정 발견 유형 에 대한 항목에 설명됩니다. 소견 유형에 대한 전체 정보는 활성 소견 유형 테이블.

침해된 EC2 인스턴스 복구

AWS 환경에서 손상된 EC2 인스턴스 문제를 해결하려면 다음 권장 단계를 따릅니다.

손상된 S3 버킷 교정

AWS 환경에서 침해된 S3 버킷을 복구하려면 다음 권장 단계를 따르십시오.

  1. 영향을 받는 S3 리소스를 식별합니다.

    가 GuardDuty S3에 대한 검색은 S3 버킷, 버킷의 Amazon Resource Number(ARN) 및 버킷 소유자를 검색 세부 정보에 나열합니다.

  2. 의심스러운 활동의 출처와 사용한 API 호출을 식별합니다.

    사용된 API 호출은 결과 세부 정보에 API로 나열됩니다. 소스는 IAM 주체(IAM 사용자, 역할 또는 계정)가 되며 식별 세부 정보는 검색 결과에 나열됩니다. 소스 유형에 따라 원격 IP 또는 소스 도메인 정보를 사용할 수 있으며 소스가 인증되었는지 여부를 평가하는 데 도움이 될 수 있습니다. 결과가 EC2 인스턴스의 자격 증명과 관련된 경우 인스턴스 세부 정보도 포함됩니다.

  3. 통화 소스가 식별된 리소스에 액세스할 수 있는 권한이 있는지 여부를 확인합니다.

    예를 들어 다음과 같은 사항을 고려하십시오.

    • IAM 사용자가 관련된 경우 자격 증명이 손상되었을 가능성이 있습니까? 침해된 AWS 자격 증명 수정에 대한 다음 섹션을 참조하십시오.

    • 이 유형의 API를 호출한 이전 기록이 없는 주체로부터 API를 호출한 경우 이 소스에 이 작업에 대한 액세스 권한이 필요합니까? 버킷 권한을 추가로 제한할 수 있습니까?

    • 액세스 권한이 사용자 이름 ANONYMOUS_PRINCIPAL사용자 유형 / AWSAccount 이는 버킷이 공개적이고 에 액세스되었음을 나타냅니다. 이 버킷은 공개되어야 합니까? 그렇지 않은 경우, S3 리소스 공유에 대한 대체 솔루션을 보려면 아래 보안 권장 사항을 검토하십시오.

액세스가 승인된 경우 소견 을(를) 무시할 수 있습니다. S3 데이터가 무단으로 노출 또는 액세스되었다고 판단되면 다음 S3 보안 권장 사항을 검토하여 권한을 강화하고 액세스를 제한하십시오. 적절한 복구 솔루션은 특정 환경의 요구 사항에 따라 달라집니다.

다음은 특정 S3 액세스 요구 사항에 따른 몇 가지 권장 사항입니다.

  • S3 데이터에 대한 공용 액세스를 제한하는 중앙 집중식 방법은 S3 블록 공용 액세스를 사용합니다. 액세스 세분성을 제어하기 위해 4가지 설정을 통해 액세스 포인트, 버킷 및 AWS 계정에 대해 공용 액세스 설정 차단을 활성화할 수 있습니다. 자세한 내용은 를 참조하십시오. S3 공용 액세스 설정 차단.

  • AWS 액세스 정책을 사용하여 IAM 사용자가 리소스에 액세스하는 방법 또는 버킷에 액세스하는 방법을 제어할 수 있습니다. 자세한 내용은 버킷 정책 및 사용자 정책 사용을 참조하십시오.

    또한 S3 버킷 정책이 포함된 VPC(Virtual Private Cloud) 엔드포인트를 사용하여 특정 VPC 엔드포인트에 대한 액세스를 제한할 수 있습니다. 자세한 내용은 Amazon S3의 VPC 엔드포인트에 대한 예제 버킷 정책을 참조하십시오.

  • 계정 외부의 신뢰할 수 있는 개체에 대한 S3 개체 액세스를 일시적으로 허용하려면 S3을 통해 사전 서명된 URL을 만들 수 있습니다. 이 액세스는 계정 자격 증명을 사용하여 생성되며, 사용된 자격 증명에 따라 6시간~7일간 지속될 수 있습니다. 자세한 내용은 를 참조하십시오. S3으로 사전 서명된 URL 생성.

  • 서로 다른 소스 간에 S3 개체를 공유해야 하는 사용 사례의 경우 S3 액세스 포인트를 사용하여 개인 네트워크 내에서만 액세스를 제한하는 권한 세트를 만들 수 있습니다. 자세한 내용은 를 참조하십시오. Amazon S3 액세스 포인트로 데이터 액세스 관리 .

  • S3 리소스에 대한 액세스를 다른 AWS 계정에 안전하게 허용하려면 액세스 제어 목록(ACL)을 사용할 수 있습니다. 자세한 내용은 을 참조하십시오. ACL을 사용한 S3 액세스 관리.

S3 보안 옵션에 대한 전체 개요는 S3 보안 모범 사례.

손상된 AWS 자격 증명 수정

AWS 환경에서 손상된 자격 증명 문제를 해결하려면 다음 권장 단계를 따릅니다.

  1. 영향을 받는 IAM 엔터티와 사용된 API 호출을 식별합니다.

    사용된 API 호출은 결과 세부 정보에 API로 나열됩니다. IAM 엔터티(IAM 사용자 또는 역할) 및 해당 엔터티의 식별 정보는 결과 세부 정보의 리소스 섹션에 나열됩니다. 관련된 IAM 엔터티의 유형은 User Type(사용자 유형) 필드에 의해 결정될 수 있으며 IAM 엔터티의 이름은 User name(사용자 이름) 필드에 표시됩니다. 결과에 관여한 IAM 엔터티의 유형은 사용된 Access key ID(Access 키 ID)에 의해 결정될 수도 있습니다.

    AKIA로 시작하는 키의 경우:

    이 유형의 키는 IAM 사용자 또는 AWS 계정 루트 사용자와 연결된 장기 고객 관리형 자격 증명입니다. IAM 사용자의 액세스 키 관리에 대한 자세한 내용은 IAM 사용자의 액세스 키 관리.

    ASIA로 시작하는 키의 경우:

    이 유형의 키는 AWS Security Token Service에서 생성되는 단기 임시 자격 증명입니다. 이러한 키는 짧은 시간 동안만 존재하며 AWS 관리 콘솔에서 보거나 관리할 수 없습니다. IAM 역할은 항상 AWS STS IAM 사용자를 위해 생성할 수도 있습니다. AWS STS 참조 아이암: 임시 보안 자격 증명.

    역할을 사용한 경우 User name(사용자 이름) 필드에는 사용한 역할의 이름에 대한 정보가 표시됩니다. 키 요청 방식을 결정할 수 있습니다. AWS CloudTrail 검사함으로써 sessionIssuer 의 요소 CloudTrail 로그 항목, 자세한 내용은 CloudTrail의 IAM 및 AWS STS 정보.

  2. IAM 엔터티에 대한 권한을 검토합니다.

    IAM 콘솔을 열고 사용된 엔터티 유형에 따라 Users(사용자) 또는 Roles(역할) 탭을 선택한 후 식별된 이름을 검색 필드에 입력하여 영향을 받는 엔터티를 찾습니다. Permission(권한)Access Advisor(액세스 관리자) 탭을 사용하여 해당 엔터티에 대한 유효한 권한을 검토합니다.

  3. IAM 엔터티 자격 증명이 합법적으로 사용되었는지 여부를 확인합니다.

    자격 증명 사용자에게 연락하여 활동이 의도적이었는지 여부를 확인합니다.

    예를 들어, 사용자가 다음을 수행했는지 확인합니다.

    • GuardDuty 결과에 나열된 API 작업 호출

    • GuardDuty 결과에 나열된 시간에 API 작업 호출

    • GuardDuty 결과에 나열된 IP 주소에서 API 작업 호출

이 활동이 AWS 자격 증명의 합법적 사용으로 확인되면 GuardDuty 결과를 무시할 수 있습니다. 그렇지 않으면 이 활동이 해당 특정 액세스 키, IAM 사용자의 사용자 ID 및 암호, 혹은 전체 AWS 계정의 손상에 따른 결과일 수 있습니다. 자격 증명이 손상된 것으로 의심되는 경우, AWS 계정이 손상될 수 있습니다. 문서 를 참조하십시오.