애플리케이션 팀 예제: 규칙 생성 AWS Config

다음은 애플리케이션 또는 개발 팀이 담당할 수 있는 Security Hub 기본 보안 모범 사례 (FSBP) 보안 표준의 일부 제어 항목입니다.

• [CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.

• [EC2.19] 보안 그룹은 위험이 높은 포트에 대한 무제한 액세스를 허용해서는 안 됩니다.

• [CodeBuild.1] CodeBuild GitHub 또는 비트버킷 소스 리포지토리 URL은 OAuth를 사용해야 합니다.

• [ECS.4] ECS 컨테이너는 권한이 없는 상태로 실행해야 합니다.

• [ELB.1] 모든 HTTP 요청을 HTTPS로 리디렉션하도록 애플리케이션 로드 밸런서를 구성해야 합니다.

이 예시에서는 애플리케이션 팀이 FSBP 제어 EC2.19에 대한 결과를 다루고 있습니다. 이 제어는 보안 그룹에 대한 무제한 수신 트래픽이 가장 위험이 높은 지정된 포트에 액세스할 수 있는지 여부를 확인합니다. 보안 그룹의 규칙 중 해당 포트에서 들어오는 인그레스 트래픽을 허용하는 규칙이 하나라도 있으면 이 제어가 실패합니다. 0.0.0.0/0 ::/0 이 컨트롤의 설명서에서는 이 트래픽을 허용하는 규칙을 삭제하도록 권장합니다.

이는 개별 보안 그룹 규칙을 다루는 것 외에도 새 AWS Config 규칙이 만들어져야 하는 결과를 보여주는 좋은 예입니다. 사전 평가 모드를 사용하면 향후 위험한 보안 그룹 규칙이 배포되는 것을 방지할 수 있습니다. 프로액티브 모드는 리소스를 배포하기 전에 평가하므로 잘못 구성된 리소스 및 관련 보안 탐지 결과를 방지할 수 있습니다. 새로운 서비스나 새로운 기능을 구현할 때 애플리케이션 팀은 지속적 통합 및 지속적 전달 (CI/CD) 파이프라인의 일환으로 사전 예방 모드에서 규칙을 실행하여 규정을 준수하지 않는 리소스를 식별할 수 있습니다. 다음 이미지는 사전 예방 AWS Config 규칙을 사용하여 템플릿에 정의된 인프라가 규정을 준수하는지 확인하는 방법을 보여줍니다. AWS CloudFormation

이 예제에서 또 다른 중요한 효율성을 얻을 수 있습니다. 애플리케이션 팀이 사전 예방 AWS Config 규칙을 만들면 다른 애플리케이션 팀이 사용할 수 있도록 공통 코드 저장소에 공유할 수 있습니다.

Security Hub 컨트롤과 관련된 각 검색 결과에는 검색 결과에 대한 세부 정보와 문제 해결 지침 링크가 포함되어 있습니다. 클라우드 팀에서 한 번의 수동 수정이 필요한 결과를 발견할 수도 있지만, 적절한 경우 개발 프로세스에서 가능한 한 빨리 문제를 식별하는 사전 예방적 검사를 구축하는 것이 좋습니다.