네트워크 연결성

네트워크 연결성 패키지의 규칙은 네트워크 구성을 분석하여 EC2 인스턴스의 보안 취약성을 찾습니다. Amazon Inspector가 생성하는 결과는 안전하지 않은 액세스 제한에 대한 지침도 제공합니다.

네트워크 접근성 규칙 패키지는 AWS 증명 가능한 보안 이니셔티브의 최신 기술을 사용합니다.

이 규칙에 의해 생성된 결과는 포트가 인터넷 게이트웨이(Application Load Balancer 또는 Classic Load Balancer 뒤에 있는 인스턴스 포함), VPC 피어링 연결 또는 가상 게이트웨이를 통한 VPN을 통해 인터넷에서 연결될 수 있는지 여부를 나타냅니다. 또한 이러한 결과는 잘못 관리되는 보안 그룹, ACL, IGW 등과 같이 악의적인 액세스를 허용하는 네트워크 구성을 강조합니다.

이러한 규칙은 AWS 네트워크의 모니터링을 자동화하고 EC2 인스턴스에 대한 네트워크 액세스가 잘못 구성되었을 수 있음을 식별하는 데 도움이 됩니다. 이 패키지를 평가 실행에 포함하면 특히 VPC 피어링 연결 및 VPN에서 유지하기 복잡하고 비용이 많이 드는 스캐너를 설치하거나 패킷을 보내지 않고도 자세한 네트워크 보안 검사를 구현할 수 있습니다.

중요

Amazon Inspector Classic 에이전트는 이 규칙 패키지를 통해 EC2 인스턴스를 평가하는 데 필요하지 않습니다. 하지만 설치된 에이전트는 포트에서 수신하는 프로세스의 존재 여부에 대한 정보를 제공할 수 있습니다. Amazon Inspector Classic에서 지원하지 않는 운영 체제에는 에이전트를 설치하지 마십시오. 지원되지 않는 운영 체제를 실행하는 인스턴스에 에이전트가 있는 경우 네트워크 연결 가능성 규칙 패키지가 해당 인스턴스에서 작동하지 않습니다.

자세한 정보는 지원되는 운영 체제의 Amazon Inspector Classic 규칙 패키지을 참조하세요.

분석된 구성

네트워크 연결성 규칙은 취약성에 대한 다음 엔터티의 구성을 분석합니다.

• Amazon EC2 인스턴스

• Application Load Balancers

• Direct Connect

• Elastic Load Balancer

• 탄력적 네트워크 인터페이스

• 인터넷 게이트웨이(IGW)

• 네트워크 액세스 제어 목록(ACL)

• 라우팅 테이블

• 보안 그룹(SG)

• 서브넷

• Virtual Private Cloud(VPC)

• 가상 프라이빗 게이트웨이(VGW)

• VPC 피어링 연결

연결성 라우팅

네트워크 연결성 규칙은 VPC 외부에서 포트에 액세스할 수 있는 방법에 해당하는 다음 연결성 라우팅을 확인합니다.

• Internet - 인터넷 게이트웨이(Application Load Balancer 및 Classic Load Balancer 포함)

• PeeredVPC - VPC 피어링 연결

• VGW - 가상 프라이빗 게이트웨이

결과 유형

네트워크 연결성 규칙 패키지가 포함된 평가는 각 연결성 라우팅에 대해 다음 유형의 결과를 반환할 수 있습니다.

• RecognizedPort

• UnrecognizedPortWithListener

• NetworkExposure

RecognizedPort

잘 알려진 서비스에 일반적으로 사용되는 포트에 연결 가능합니다. 대상 EC2 인스턴스에 에이전트가 있는 경우 생성된 검색 결과는 포트에 활성 수신 프로세스가 있는지 여부도 나타냅니다. 이러한 결과 유형은 잘 알려진 서비스의 보안 영향에 따라 심각도가 지정됩니다.

• RecognizedPortWithListener – 인식된 포트는 특정 네트워킹 구성 요소를 통해 퍼블릭 인터넷에서 외부로 연결할 수 있으며 프로세스는 포트에서 수신 대기합니다.

• RecognizedPortNoListener – 인식된 포트는 특정 네트워킹 구성 요소를 통해 퍼블릭 인터넷에서 외부로 연결할 수 있으며 포트에 대해 수신하는 프로세스가 없습니다.

• RecognizedPortNoAgent – 인식된 포트는 특정 네트워킹 구성 요소를 통해 퍼블릭 인터넷에서 외부로 연결할 수 있습니다. 대상 인스턴스에 에이전트를 설치하지 않은 상태에서는 포트에서 수신하는 프로세스가 있는지 여부를 확인할 수 없습니다.

다음 표는 인식된 포트 목록을 보여 줍니다.

Service	TCP 포트	UDP 포트
SMB	445	445
NetBIOS	137, 139	137, 138
LDAP	389	389
LDAP over TLS	636
글로벌 카탈로그 LDAP	3268
글로벌 카탈로그 LDAP over TLS	3269
NFS	111, 2049, 4045, 1110	111, 2049, 4045, 1110
Kerberos	88, 464, 543, 544, 749, 751	88, 464, 749, 750, 751, 752
RPC	111, 135, 530	111, 135, 530
WINS	1512, 42	1512, 42
DHCP	67, 68, 546, 547	67, 68, 546, 547
Syslog	601	514
인쇄 서비스	515
Telnet	23	23
FTP	21	21
SSH	22	22
RDP	3389	3389
MongoDB	27017, 27018, 27019, 28017
SQL 서버	1433	1434
MySQL	3306
PostgreSQL	5432
Oracle	1521, 1630
Elasticsearch	9300, 9200
HTTP	80	80
HTTPS	443	443

UnrecogizedPortWithListener

앞의 표에 나열되지 않은 포트는 연결 가능하며 활성 수신 프로세스가 있습니다. 이 유형의 결과는 수신 프로세스에 대한 정보를 표시하므로 Amazon Inspector 에이전트가 대상 EC2 인스턴스에 설치된 경우에만 생성될 수 있습니다. 이 유형의 결과에는 낮음 심각도가 부여됩니다.

NetworkExposure

이 유형의 결과는 EC2 인스턴스에서 연결할 수 있는 포트에 대한 집계 정보를 표시합니다. 이러한 결과는 탄력적 네트워크 인터페이스와 EC2 인스턴스의 보안 그룹을 조합할 때 TCP 및 UDP 포트 범위의 연결 가능한 집합을 보여 줍니다. 이 유형의 결과는 정보 심각도를 갖습니다.