클라우드 팀 예제: VPC 구성 변경

클라우드 팀은 사용 사례에 맞지 않을 수 있는 AWS 기본 설정 변경과 같이 일반적인 추세가 있는 보안 결과를 분류하고 문제를 해결할 책임이 있습니다. 이러한 결과는 VPC 구성과 같은 많은 AWS 계정 OR 리소스에 영향을 미치거나 전체 환경에 적용해야 하는 제한 사항을 포함하는 경향이 있습니다. 대부분의 경우 클라우드 팀은 정책 추가 또는 업데이트와 같은 수동, 일회성 변경을 수행합니다.

조직에서 AWS 환경을 일정 기간 사용한 후에는 일련의 안티패턴이 발생하는 것을 발견할 수 있습니다. 안티패턴은 솔루션이 다른 솔루션보다 역효과를 가져오거나 비효율적이거나 덜 효과적인 반복되는 문제에 자주 사용되는 솔루션입니다. 이러한 안티패턴 대신 조직은 AWS Organizations 서비스 제어 정책 (SCP) 또는 IAM Identity Center 권한 집합과 같은 환경 전반에 더 효과적인 제한을 사용할 수 있습니다. SCP와 권한 집합은 사용자가 퍼블릭 Amazon Simple Storage Service (Amazon S3) 버킷을 구성하지 못하도록 하는 등 리소스 유형에 대한 추가 제한을 제공할 수 있습니다. 가능한 모든 보안 구성을 제한하고 싶은 마음이 들 수도 있지만, SCP 및 권한 집합에는 정책 크기 제한이 있습니다. 예방 및 탐지 제어에는 균형 잡힌 접근 방식을 사용하는 것이 좋습니다.

다음은 클라우드 팀이 담당할 수 있는 AWS Security Hub 기본 보안 모범 사례 (FSBP) 표준의 몇 가지 제어 항목입니다.

• [EC2.2] VPC 기본 보안 그룹은 인바운드 및 아웃바운드 트래픽을 허용하지 않아야 합니다.

• [EC2.6] VPC 흐름 로깅은 모든 VPC에서 활성화되어야 합니다.

• [EC2.23] Amazon EC2 트랜짓 게이트웨이는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.

• [CloudTrail.1] 은 읽기 및 쓰기 관리 이벤트를 포함하는 다중 지역 트레일을 하나 이상 사용하도록 활성화하고 CloudTrail 구성해야 합니다.

• [구성.1] 을 AWS Config 활성화해야 합니다.

이 예시에서는 클라우드 팀이 FSBP 제어 EC2.2에 대한 발견을 검토하고 있습니다. 기본 보안 그룹은 기본 인바운드 및 아웃바운드 규칙을 통해 광범위한 액세스를 허용하므로 이 제어 설명서에서는 기본 보안 그룹을 사용하지 말 것을 권장합니다. 기본 보안 그룹은 삭제할 수 없으므로 인바운드 및 아웃바운드 트래픽을 제한하도록 규칙 설정을 변경하는 것이 좋습니다. 각 VPC에는 이 기본 보안 그룹이 있기 때문에 클라우드 팀은 확립된 메커니즘을 사용하여 모든 VPC에 대한 보안 그룹 규칙을 수정해야 합니다. 대부분의 경우 클라우드 팀은 AWS Control Tower사용자 지정 또는 또는 같은 IaC (코드형 인프라) 도구를 사용하여 VPC 구성을 관리합니다. HashiCorp TerraformAWS CloudFormation