대상 격리 - AWS 보안 인시던트 대응 사용 설명서

대상 격리

대상 격리는 대상 호스트나 리소스에 대한 액세스를 방지하기 위해 환경 내에서 필터링 또는 라우팅을 적용하는 것입니다. 경우에 따라 대상 격리에는 합법적인 리소스가 가용성을 위해 복제되는지 확인하기 위한 복원력 형태도 포함됩니다. 격리 및 격리를 위해 리소스를 이러한 형태의 복원력에서 분리해야 합니다. AWS 서비스를 사용한 대상 격리의 예는 다음과 같습니다.

  • 네트워크 ACL - AWS 리소스가 포함된 서브넷에 구성된 네트워크 ACL에는 거부 규칙이 추가될 수 있습니다. 이러한 거부 규칙을 적용하여 특정 AWS 리소스에 대한 액세스를 방지할 수 있지만 네트워크 액세스 제어 목록(네트워크 ACL)을 적용하면 권한 부여 없이 액세스되는 리소스뿐만 아니라 서브넷의 모든 리소스에도 영향이 있습니다. 네트워크 ACL 내에 나열된 규칙은 하향식 순서로 처리되므로 대상 리소스와 서브넷에 대한 무단 트래픽을 거부하도록 기존 네트워크 ACL의 첫 번째 규칙을 구성해야 합니다. 또는 인바운드 및 아웃바운드 트래픽 모두에 대해 단일 거부 규칙을 사용해서 완전히 새로운 네트워크 ACL을 생성하고 대상 리소스가 포함된 서브넷과 연결해서 새 네트워크 ACL을 사용하여 서브넷에 액세스하지 못하도록 할 수 있습니다.

  • 종료 - 리소스를 완전히 종료하면 무단 사용의 영향을 격리하는 데 효과적일 수 있습니다. 리소스를 종료하면 비즈니스 요구 사항에 대한 합법적인 액세스가 차단되고 불안정한 법의학 데이터를 얻을 수 없게 되므로 이는 목적이 있는 결정이어야 하며 조직의 보안 정책에 따라 판단해야 합니다.

  • 격리 VPC - 격리 VPC를 사용하여 합법적인 트래픽(예: 바이러스 백신(AV) 또는 인터넷이나 외부 관리 콘솔에 액세스해야 하는 EDR 솔루션)에 대한 액세스를 제공하면서 리소스를 효과적으로 격리할 수 있습니다. 격리 VPC는 보안 이벤트 전에 유효한 IP 주소와 포트를 허용하도록 미리 구성할 수 있으며, 활성 보안 이벤트 중에 대상 리소스를 이 격리 VPC로 즉시 이동하여 리소스를 격리하면서 인시던트 대응의 후속 단계 동안 대상 리소스에서 합법적인 트래픽을 송수신할 수 있도록 할 수 있습니다. 격리 VPC 사용의 중요한 측면은 EC2 인스턴스와 같은 리소스를 사용하기 전에 새 격리 VPC에서 종료했다가 다시 시작해야 한다는 점입니다. 기존 EC2 인스턴스는 다른 VPC 또는 다른 가용 영역으로 이동할 수 없습니다. 이렇게 하려면 EC2 인스턴스를 다른 서브넷, 가용 영역 또는 VPC로 이동하려면 어떻게 해야 합니까?에 약술된 단계를 따르세요.

  • Auto Scaling 그룹 및 로드 밸런서 - Auto Scaling 그룹과 로드 밸런서에 연결된 AWS 리소스는 대상 격리 절차의 일부로 분리하고 등록 취소해야 합니다. AWS 리소스 분리 및 등록 취소는 AWS Management Console, AWS CLI 및 AWS SDK를 사용하여 수행할 수 있습니다.

다음 다이어그램에서는 승인되지 않은 호스트의 네트워크 연결 요청을 차단하기 위해 인시던트 대응 분석가가 서브넷에 네트워크 ACL을 추가하는 대상 격리의 예를 보여줍니다.

대상 격리의 예를 보여주는 다이어그램

대상 격리 예시