기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
소개
보안은의 최우선 순위입니다 AWS. AWS 고객은 보안에 가장 민감한 조직의 요구 사항을 지원하기 위해 구축된 데이터 센터 및 네트워크 아키텍처의 이점을 누릴 수 있습니다. AWS 에는 공동 책임 모델이 있습니다. 클라우드의 보안을 AWS 관리하고 고객은 클라우드의 보안을 책임집니다. 즉, 보안 목표를 충족하는 데 도움이 되는 여러 도구 및 서비스에 대한 액세스를 포함하여 보안 구현을 완벽하게 제어할 수 있습니다. 이러한 기능은에서 실행되는 애플리케이션의 보안 기준을 설정하는 데 도움이 됩니다 AWS 클라우드.
잘못된 구성이나 외부 요인 변경과 같이 기준에서 벗어나면 대응하고 조사해야 합니다. 이를 성공적으로 수행하려면 환경 내 보안 인시던트 대응의 기본 개념과 보안 문제가 발생하기 전에 클라우드 팀을 준비, 교육 및 훈련하기 위한 요구 사항을 이해해야 합니다 AWS . 사용할 수 있는 제어 및 기능을 파악하고, 잠재적 문제를 해결하기 위한 주제 예제를 검토하고, 자동화를 사용하여 응답 속도와 일관성을 개선하는 해결 방법을 식별하는 것이 중요합니다. 또한 규정 준수 및 규제 요구 사항은 이러한 요구 사항을 충족하기 위한 보안 인시던트 대응 프로그램 구축과 관련이 있으므로 이를 이해해야 합니다.
보안 인시던트 대응은 복잡할 수 있으므로 핵심 보안 서비스로 시작하여 기본 탐지 및 대응 기능을 구축한 다음 플레이북을 개발하여 반복 및 개선할 인시던트 대응 메커니즘의 초기 라이브러리를 생성하는 등 반복적인 접근 방식을 구현하는 것이 좋습니다.
시작하기 전에
에서 보안 이벤트에 대한 인시던트 대응에 대해 알아보기 전에 AWS 보안 및 인시던트 대응에 대한 관련 표준 및 프레임워크를 AWS숙지하세요. 이러한 기반은이 가이드에 제시된 개념과 모범 사례를 이해하는 데 도움이 됩니다.
AWS 보안 표준 및 프레임워크
먼저 보안, 자격 증명 및 규정 준수 모범 사례, 보안 원칙 - AWS Well-Architected Framework
AWS CAF는 클라우드로 이동하는 조직의 여러 부분 간의 조정을 지원하는 지침을 제공합니다. AWS CAF 지침은 클라우드 기반 IT 시스템 구축과 관련된 관점이라고 하는 여러 중점 영역으로 나뉩니다. 보안 관점에서는 워크스트림에서 보안 프로그램을 구현하는 방법을 설명합니다.이 중 하나는 인시던트 대응입니다. 이 문서는 고객과 협력하여 효과적이고 효율적인 보안 인시던트 대응 프로그램 및 기능을 구축하는 데 도움이 되는 경험의 결과물입니다.
산업 인시던트 대응 표준 및 프레임워크
이 백서는 NIST(National Institute of Standards and Technology)에서 만든 컴퓨터 보안 인시던트 처리 가이드 SP 800-61 r2
AWS 인시던트 대응 개요
먼저 클라우드에서 보안 운영과 인시던트 대응이 어떻게 다른지 이해하는 것이 중요합니다. 효과적인 대응 기능을 구축하려면 기존 온프레미스 대응과의 편차와 이러한 편차 AWS가 인시던트 대응 프로그램에 미치는 영향을 이해해야 합니다. 이러한 각 차이점과 핵심 AWS 인시던트 대응 설계 원칙은이 섹션에 자세히 설명되어 있습니다.
AWS 인시던트 대응의 측면
조직 내 모든 AWS 사용자는 보안 인시던트 대응 프로세스를 기본적으로 이해하고 보안 직원은 보안 문제에 대응하는 방법을 이해해야 합니다. 교육, 훈련 및 경험은 성공적인 클라우드 인시던트 대응 프로그램에 필수적이며 발생 가능한 보안 인시던트를 처리하기 전에 미리 구현하는 것이 이상적입니다. 클라우드에서 성공적인 인시던트 대응 프로그램의 토대는 준비, 운영 및 인시던트 후 활동입니다.
이러한 각 측면을 이해하려면 다음 설명을 고려하세요.
-
준비 - 탐지 제어를 AWS 활성화하고 필요한 도구 및 클라우드 서비스에 대한 적절한 액세스를 확인하여 인시던트 대응 팀이 내에서 인시던트를 탐지하고 대응할 수 있도록 준비합니다. 또한 신뢰할 수 있는 일관된 응답을 보장하는 데 필요한 수동 및 자동 런북을 준비합니다.
-
운영 - NIST의 인시던트 대응 단계인 탐지, 분석, 억제, 근절 및 복구에 따라 보안 이벤트 및 잠재적 인시던트에 대해 운영합니다.
-
인시던트 후 활동 - 보안 이벤트 및 시뮬레이션의 결과를 반복하여 대응의 효율성을 개선하고, 대응 및 조사에서 파생된 가치를 높이고, 위험을 추가로 줄입니다. 인시던트를 통해 배우고 개선 활동에 대한 강한 주인의식을 가져야 합니다.
이러한 각 측면은이 안내서에서 자세히 다루고 자세히 설명합니다. 다음 다이어그램은 앞서 언급한 NIST 인시던트 대응 수명 주기와 일치하지만 억제, 근절 및 복구를 통한 탐지 및 분석을 포함하는 작업에 따라 이러한 측면의 흐름을 보여줍니다.
AWS 인시던트 대응의 측면
AWS 인시던트 대응 원칙 및 설계 목표
NIST SP 800-61 컴퓨터 보안 인시던트 처리 안내서
-
대응 목표 설정 - 이해관계자, 법률 고문 및 조직 경영진과 협력하여 인시던트에 대응하는 목표를 결정합니다. 몇 가지 일반적인 목표에는 문제를 포함 및 완화하고, 영향을 받는 리소스를 복구하고, 포렌식을 위한 데이터를 보존하고, 알려진 안전한 작업으로 복귀하고, 궁극적으로 인시던트에서 학습하는 것이 포함됩니다.
-
클라우드를 사용하여 대응 - 이벤트 및 데이터가 발생하는 클라우드 내에서 응답 패턴을 구현합니다.
-
무엇이 있고 무엇이 필요한지 파악 - 로그, 리소스, 스냅샷 및 기타 증거를 복사하여 응답 전용 중앙 집중식 클라우드 계정에 저장하여 보존합니다. 태그, 메타데이터, 보존 정책을 적용하는 메커니즘을 사용합니다. 사용하는 서비스를 파악한 다음 해당 서비스를 조사하기 위한 요구 사항을 식별해야 합니다. 환경을 이해하는 데 도움이 되도록 태그 지정 전략 개발 및 구현 태깅을 사용할 수도 있습니다. 태깅은이 문서의 뒷부분 단원에서 다룹니다.
-
재배포 메커니즘 사용 - 잘못된 구성으로 인해 보안 이상이 발생할 수 있는 경우 적절한 구성으로 리소스를 재배포하여 분산을 제거하는 것만큼 간단한 문제 해결이 필요할 수 있습니다. 가능한 손상이 식별되면 재배포에 근본 원인의 성공적이고 확인된 완화가 포함되어 있는지 확인합니다.
-
가능한 경우 자동화 - 문제가 발생하거나 인시던트가 반복되면 프로그래밍 방식으로 일반적인 이벤트를 분류하고 대응하는 메커니즘을 구축합니다. 자동화가 충분하지 않은 고유하거나 복잡하거나 민감한 인시던트에는 인적 응답을 사용합니다.
-
확장 가능한 솔루션 선택 - 클라우드 컴퓨팅에 대한 조직의 접근 방식의 확장성에 맞추기 위해 노력합니다. 환경 전체에 걸쳐 확장되는 탐지 및 대응 메커니즘을 구현하여 탐지와 대응 사이의 시간을 효과적으로 줄입니다.
-
프로세스 학습 및 개선 - 프로세스, 도구 또는 사람의 격차를 사전에 파악하고 이를 해결하기 위한 계획을 구현합니다. 시뮬레이션은 격차를 찾고 프로세스를 개선하는 안전한 방법입니다. 프로세스를 반복하는 방법에 대한 자세한 내용은이 문서의 인시던트 사후 활동 섹션을 참조하세요.
이러한 설계 목표는 인시던트 대응과 위협 탐지를 모두 수행할 수 있는지 아키텍처 구현을 검토하도록 상기시켜줍니다. 클라우드 구현을 계획할 때 포렌식으로 건전한 대응 방법론을 사용하여 인시던트에 대응하는 것이 이상적입니다. 경우에 따라 이러한 응답 작업에 대해 여러 조직, 계정 및 도구가 특별히 설정되어 있을 수 있습니다. 이러한 도구와 기능은 배포 파이프라인을 통해 인시던트 대응 담당자가 사용할 수 있도록 해야 합니다. 더 큰 위험을 초래할 수 있으므로 정적이어서는 안 됩니다.
클라우드 보안 인시던트 도메인
AWS 환경에서 보안 이벤트에 효과적으로 대비하고 대응하려면 클라우드 보안 인시던트의 일반적인 유형을 이해해야 합니다. 보안 인시던트가 발생할 수 있는 고객 책임 내에는 서비스, 인프라 및 애플리케이션이라는 세 가지 도메인이 있습니다. 도메인마다 지식, 도구 및 대응 프로세스가 서로 다릅니다. 다음 도메인을 고려하세요.
-
서비스 도메인 - 서비스 도메인의 인시던트는 사용자 AWS 계정, AWS Identity and Access Management
(IAM) 권한, 리소스 메타데이터, 결제 또는 기타 영역에 영향을 미칠 수 있습니다. 서비스 도메인 이벤트는 AWS API 메커니즘으로만 응답하거나 구성 또는 리소스 권한과 관련된 근본 원인이 있고 관련 서비스 지향 로깅이 있을 수 있는 이벤트입니다. -
인프라 도메인 - 인프라 도메인의 인시던트에는 Amazon Elastic Compute Cloud
(Amazon EC2) 인스턴스의 프로세스 및 데이터, Virtual Private Cloud(VPC) 내의 Amazon EC2 인스턴스로의 트래픽, 컨테이너 또는 기타 향후 서비스와 같은 기타 영역과 같은 데이터 또는 네트워크 관련 활동이 포함됩니다. 인프라 도메인 이벤트에 대한 응답에는 포렌식 분석을 위한 인시던트 관련 데이터를 획득하는 것이 포함되는 경우가 많습니다. 여기에는 인스턴스의 운영 체제와의 상호 작용이 포함될 수 있으며, 다양한 경우에 AWS API 메커니즘이 포함될 수도 있습니다. 인프라 도메인에서는 AWS APIs와 포렌식 분석 및 조사 수행을 위한 Amazon EC2 인스턴스와 같은 게스트 운영 체제 내의 디지털 포렌식/인시던트 응답(DFIR) 도구의 조합을 사용할 수 있습니다. 인프라 도메인 인시던트에는 네트워크 패킷 캡처, Amazon Elastic Block Store(Amazon EBS) 볼륨의 디스크 블록 또는 인스턴스에서 획득한 휘발성 메모리 분석이 포함될 수 있습니다. -
애플리케이션 도메인 - 애플리케이션 도메인의 인시던트는 애플리케이션 코드 또는 서비스 또는 인프라에 배포된 소프트웨어에서 발생합니다. 이 도메인은 클라우드 위협 탐지 및 대응 플레이북에 포함되어야 하며 인프라 도메인의 응답과 유사한 응답을 통합할 수 있습니다. 적절하고 사려 깊은 애플리케이션 아키텍처를 사용하면 자동화된 획득, 복구 및 배포를 사용하여 클라우드 도구를 사용하여이 도메인을 관리할 수 있습니다.
이러한 도메인에서는 AWS 계정, 리소스 또는 데이터에 대해 조치를 취할 수 있는 공격자를 고려합니다. 내부 또는 외부에서 위험 프레임워크를 사용하여 조직에 대한 특정 위험을 결정하고 그에 따라 준비합니다. 또한 인시던트 대응 계획 및 사려 깊은 아키텍처 구축에 도움이 될 수 있는 위협 모델을 개발해야 합니다.
에서 인시던트 대응의 주요 차이점 AWS
인시던트 대응은 온프레미스 또는 클라우드에서 사이버 보안 전략의 중요한 부분입니다. 최소 권한 및 심층 방어와 같은 보안 원칙은 온프레미스와 클라우드 모두에서 데이터의 기밀성, 무결성 및 가용성을 보호하기 위한 것입니다. 이러한 보안 원칙을 지원하는 몇 가지 인시던트 대응 패턴은 로그 보존, 위협 모델링에서 파생된 알림 선택, 플레이북 개발, 보안 정보 및 이벤트 관리(SIEM) 통합을 포함하여 적합합니다. 차이점은 고객이 클라우드에서 이러한 패턴을 설계하고 엔지니어링하기 시작할 때 시작됩니다. 다음은 인시던트 대응의 주요 차이점입니다 AWS.
차이점 #1: 공동 책임으로서의 보안
보안 및 규정 준수에 대한 책임은 AWS 와 고객 간에 공유됩니다. 이 공동 책임 모델은 호스트 운영 체제 및 가상화 계층에서 서비스가 운영되는 시설의 물리적 보안까지 구성 요소를 AWS 운영, 관리 및 제어하므로 고객의 운영 부담을 일부 덜어 줍니다. 공동 책임 모델에 대한 자세한 내용은 공동 책임 모델
클라우드에서 공동 책임이 변경되면 인시던트 대응 옵션도 변경됩니다. 이러한 장단점을 계획하고 이해하며 거버넌스 요구 사항에 맞추는 것은 인시던트 대응에서 중요한 단계입니다.
와의 직접적인 관계 외에도 특정 책임 모델에 책임이 있는 다른 엔터티가 AWS있을 수 있습니다. 예를 들어 운영의 일부 측면을 책임지는 내부 조직 단위가 있을 수 있습니다. 또한 일부 클라우드 기술을 개발, 관리 또는 운영하는 다른 당사자와 관계를 맺고 있을 수 있습니다.
운영 모델에 맞는 적절한 인시던트 대응 계획과 적절한 플레이북을 생성하고 테스트하는 것이 매우 중요합니다.
차이 #2: 클라우드 서비스 도메인
클라우드 서비스에 존재하는 보안 책임의 차이로 인해 보안 인시던트에 대한 새 도메인인 서비스 도메인이 도입되었습니다.이 도메인은 인시던트 도메인 섹션의 앞부분에서 설명했습니다. 서비스 도메인에는 고객의 AWS 계정, IAM 권한, 리소스 메타데이터, 결제 및 기타 영역이 포함됩니다. 이 도메인은 대응 방식 때문에 인시던트 대응에서 다릅니다. 서비스 도메인 내의 응답은 일반적으로 기존 호스트 기반 및 네트워크 기반 응답이 아닌 API 직접 호출을 검토하고 실행하여 수행됩니다. 서비스 도메인에서는 영향을 받는 리소스의 운영 체제와 상호 작용하지 않습니다.
다음 다이어그램은 아키텍처 안티 패턴을 기반으로 하는 서비스 도메인의 보안 이벤트 예를 보여줍니다. 이 경우 권한이 없는 사용자는 IAM 사용자의 장기 보안 자격 증명을 획득합니다. IAM 사용자에게는 Amazon Simple Storage Service
서비스 도메인 예제
차이 #3: 인프라 프로비저닝APIs
또 다른 차이점은 온디맨드 셀프 서비스의 클라우드 특성
의 API 기반 특성으로 인해 보안 이벤트에 응답하기 위한 AWS중요한 로그 소스는 AWS 계정에서 수행된 관리 API 호출을 AWS CloudTrail추적하고 API 호출의 소스 위치에 대한 정보를 찾을 수 있는 위치입니다.
차이 #4: 클라우드의 동적 특성
클라우드는 동적이므로 리소스를 빠르게 생성하고 삭제할 수 있습니다. 자동 조정을 사용하면 트래픽 증가에 따라 리소스를 분산하고 분산할 수 있습니다. 수명이 짧은 인프라와 빠른 변경 사항으로 인해 조사 중인 리소스가 더 이상 존재하지 않거나 수정되었을 수 있습니다. AWS 리소스의 일시적 특성과 AWS 리소스 생성 및 삭제를 추적하는 방법을 이해하는 것이 인시던트 분석에 중요합니다. AWS Config
차이 #5: 데이터 액세스
클라우드에서는 데이터 액세스도 다릅니다. 보안 조사에 필요한 데이터를 수집하기 위해 서버에 연결할 수 없습니다. 데이터는 유선 및 API 호출을 통해 수집됩니다. 이 교대 근무에 대비하려면 APIs를 통해 데이터 수집을 수행하는 방법을 연습하고 이해하고 효과적인 수집 및 액세스를 위한 적절한 스토리지를 확인해야 합니다.
차이 #6: 자동화의 중요성
고객이 클라우드 채택의 이점을 완전히 실현하려면 운영 전략이 자동화를 수용해야 합니다. 코드형 인프라(IaC)는 AWS CloudFormation
이러한 차이점 해결
이러한 차이를 해결하려면 다음 섹션에 설명된 단계에 따라 사람, 프로세스 및 기술 전반에 걸쳐 인시던트 대응 프로그램이 잘 준비되었는지 확인합니다.
