테마 3: 자동화를 통한 변경 가능한 인프라 관리

8가지 필수 전략 포함

애플리케이션 제어, 패치 애플리케이션, 패치 운영 체제

변경 불가능한 인프라와 마찬가지로 변경 가능한 인프라를 IaC로 관리하고 자동화된 프로세스를 통해이 인프라를 수정하거나 업데이트합니다. 변경 불가능한 인프라에 대한 많은 구현 단계가 변경 가능한 인프라에도 적용됩니다. 그러나 변경 가능한 인프라의 경우 수정된 워크로드가 여전히 모범 사례를 따르도록 수동 제어를 구현해야 합니다.

변경 가능한 인프라의 경우의 기능인 Patch Manager를 사용하여 패치 관리를 자동화할 수 있습니다 AWS Systems Manager. AWS 조직의 모든 계정에서 패치 관리자를 활성화합니다.

SSH 및 RDP에 대한 직접 액세스를 방지하고 사용자에게 Systems Manager의 기능이기도 한 세션 관리자 또는 실행 명령을 사용하도록 요구합니다. SSH 및 RDP와 달리 이러한 기능은 시스템 액세스 및 변경 사항을 로깅할 수 있습니다.

규정 준수를 모니터링하고 보고하려면 패치 규정 준수에 대한 지속적인 검토를 수행해야 합니다. AWS Config 규칙을 사용하여 모든 Amazon EC2 인스턴스가 Systems Manager에서 관리되고, 필요한 권한과 설치된 애플리케이션이 있으며, 패치 규정을 준수하는지 확인할 수 있습니다.

AWS Well-Architected 프레임워크의 관련 모범 사례

• SEC06-BP03 수동 관리 및 대화형 액세스 감소

• SEC06-BP05 컴퓨팅 보호 자동화

이 테마 구현

패치 적용 자동화

• 조직의 모든 계정 AWS 에서 패치 관리자 활성화의 단계 구현

• 모든 EC2 인스턴스의 경우 Systems Manager가 인스턴스AmazonSSMManagedInstanceCore에 액세스하는 데 사용하는 인스턴스 프로파일 또는 IAM 역할에 CloudWatchAgentServerPolicy 및를 포함합니다.

수동 프로세스 대신 자동화 사용

• 에서 AMI 및 컨테이너 빌드 파이프라인 구현의 지침 구현 테마 2: 보안 파이프라인을 통해 변경 불가능한 인프라 관리

• 직접 SSH 또는 RDP 액세스 대신 세션 관리자 또는 실행 명령 사용

자동화를 사용하여 EC2 인스턴스에 다음 설치

• 인스턴스 검색 및 관리에 사용되는 AWS Systems Manager 에이전트(SSM 에이전트)

• Security Enhanced Linux(SELinux)(GitHub), File Access Policy Daemon(fapolicyd)(GitHub) 또는 OpenSCAP와 같은 애플리케이션 제어를 위한 보안 도구

• 로깅에 사용되는 Amazon CloudWatch Agent

릴리스 전에 동료 검토를 사용하여 변경 사항이 모범 사례를 충족하는지 확인합니다.

• 와일드카드를 사용하는 정책과 같이 너무 허용적인 IAM 정책

• 와일드카드를 사용하거나 SSH 액세스를 허용하는 규칙과 같이 너무 허용적인 보안 그룹 규칙

• 활성화되지 않은 액세스 로그

• 활성화되지 않은 암호화

• 암호 리터럴

• 보안 IAM 정책

자격 증명 수준 제어 사용

• 사용자가 자동화된 프로세스를 통해 리소스를 수정하고 수동 구성을 방지하도록 요구하려면 사용자가 수임할 수 있는 역할에 대한 읽기 전용 권한을 허용하십시오.

• Systems Manager에서 사용하는 역할과 같은 서비스 역할에만 리소스를 수정할 수 있는 권한을 부여합니다.

취약성 스캔 구현

• 에서 취약성 검사 구현의 지침 구현 테마 2: 보안 파이프라인을 통해 변경 불가능한 인프라 관리

• Amazon Inspector를 사용하여 EC2 인스턴스 스캔

이 테마 모니터링

패치 규정 준수를 지속적으로 모니터링

• 자동화 및 대시보드를 사용하여 패치 규정 준수 보고

• 패치 규정 준수를 위해 대시보드를 검토하는 메커니즘 구현

IAM 및 로그를 지속적으로 모니터링

• IAM 정책을 정기적으로 검토하여 다음을 확인합니다.

  • 배포 파이프라인만 리소스에 직접 액세스할 수 있습니다.

  • 승인된 서비스만 데이터에 직접 액세스할 수 있습니다.

  • 사용자가 리소스 또는 데이터에 직접 액세스할 수 없음

• AWS CloudTrail 로그를 모니터링하여 사용자가 파이프라인을 통해 리소스를 수정하고 리소스를 직접 수정하거나 데이터에 액세스하지 않는지 확인합니다.

• 조사 AWS Identity and Access Management Access Analyzer 결과 정기 검토

• 에 대한 루트 사용자 자격 증명 AWS 계정 이 사용되는 경우 알림을 보내도록 설정합니다.

다음 AWS Config 규칙 구현

• EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

• EC2_INSTANCE_MANAGED_BY_SSM

• EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent

• EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps

• IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM

• EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

• REQUIRED_TAGS

• RESTRICTED_INCOMING_TRAFFIC - 22, 3389