EC2 인스턴스에 대한 노출 문제 해결 - AWS Security Hub
EC2 인스턴스의 구성 오류 특성EC2 인스턴스의 연결성 특성EC2 인스턴스의 취약성 특성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

EC2 인스턴스에 대한 노출 문제 해결

AWS Security Hub는 Amazon Elastic Compute Cloud(EC2) 인스턴스에 대한 노출 조사 결과를 생성할 수 있습니다.

Security Hub 콘솔에서 노출 조사 결과와 관련된 EC2 인스턴스와 해당 식별 정보는 조사 결과 세부 정보의 리소스 섹션에 나열됩니다. 프로그래밍 방식으로 Security Hub API의 GetFindingsV2 작업을 통해 리소스 세부 정보를 검색할 수 있습니다.

노출 조사 결과와 관련된 리소스를 식별한 후 필요하지 않은 경우 리소스를 삭제할 수 있습니다. 필수적이지 않은 리소스를 삭제하면 노출 프로필과 AWS 비용을 줄일 수 있습니다. 리소스가 필요한 경우 다음 권장 문제 해결 단계를 수행하여 위험을 완화하세요. 문제 해결 주제는 특성 유형에 따라 구분됩니다.

단일 노출 조사 결과에는 여러 문제 해결 주제에서 식별된 문제가 포함됩니다. 반대로, 하나의 문제 해결 주제만 처리하여 노출 조사 결과를 해결하고 심각도 수준을 낮출 수 있습니다. 위험 해결 방법은 조직의 요구 사항과 워크로드에 따라 달라집니다.

참고

이 주제에 제공된 문제 해결 지침에 따라 다른 AWS 리소스에서 추가 상담이 필요할 수 있습니다.

EC2 인스턴스의 구성 오류 특성

다음은 EC2 인스턴스에 대한 잘못된 구성 특성과 제안된 수정 단계입니다.

EC2 인스턴스는 버전 1을 사용하여 IMDS에 대한 액세스를 허용합니다.

인스턴스 메타데이터는 애플리케이션이 실행 중인 인스턴스를 구성하거나 관리하는 데 사용할 수 있는 Amazon EC2 인스턴스에 대한 데이터입니다. 인스턴스 메타데이터 서비스(IMDS)는 인스턴스의 코드가 인스턴스 메타데이터에 안전하게 액세스하기 위해 사용하는 온 인스턴스 구성 요소입니다. IMDS가 제대로 보호되지 않으면 임시 자격 증명 및 기타 민감한 구성 데이터에 대한 액세스를 제공하므로 잠재적인 공격 벡터가 될 수 있습니다. IMDSv2는 메타데이터 요청에 세션 토큰을 요구하고 세션 기간을 제한하는 세션 지향 인증을 통해 악용에 대한 더 강력한 보호를 제공합니다. 표준 보안 원칙에 따라 IMDSv2를 사용하고 IMDSv1을 비활성화하도록 Amazon EC2 인스턴스를 구성하는 것이 AWS 좋습니다. IMDSv2 IMDSv1

애플리케이션 호환성 테스트

IMDSv2를 구현하기 전에 인스턴스를 테스트하여 IMDSv2와의 호환성을 확인합니다. 일부 애플리케이션 또는 스크립트는 핵심 기능을 위해 IMDSv1이 필요하고 추가 구성이 필요할 수 있습니다. 애플리케이션 호환성을 테스트하기 위한 도구 및 권장 경로에 대한 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서인스턴스 메타데이터 서비스 버전 2 사용으로 전환을 참조하세요.

IMDSv2를 사용하도록 인스턴스 업데이트

IMDSv2를 사용하도록 기존 인스턴스를 수정합니다. 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서기존 인스턴스에 대한 인스턴스 메타데이터 옵션 수정을 참조하세요.

Auto Scaling 그룹의 인스턴스에 업데이트 적용

인스턴스가 Auto Scaling 그룹의 일부인 경우 시작 템플릿 또는 시작 구성을 새 구성으로 업데이트하고 인스턴스 새로 고침을 수행합니다.

Amazon EC2 인스턴스와 연결된 IAM 역할에는 관리 액세스 정책이 있습니다.

관리 액세스 정책은 Amazon EC2 인스턴스에 AWS 서비스 및 리소스에 대한 광범위한 권한을 제공합니다. 이러한 정책에는 일반적으로 인스턴스 기능에 필요하지 않은 권한이 포함됩니다. Amazon EC2 인스턴스에 대한 관리 액세스 정책으로 IAM 자격 증명을 제공하면(인스턴스 프로파일에 연결된 역할에 필요한 최소 권한 집합 대신) Amazon EC2 인스턴스가 손상된 경우 공격 범위가 증가할 수 있습니다. 인스턴스가 손상된 경우 공격자는 이러한 과도한 권한을 활용하여 환경 전체에서 내부적으로 이동하거나, 데이터에 액세스하거나, 리소스를 조작할 수 있습니다. 표준 보안 원칙에 따라 최소 권한을 부여하는 것이 좋습니다. 즉, 작업을 수행하는 데 필요한 권한만 부여하는 것입니다.

관리 정책 검토 및 식별

IAM 대시보드에서 역할 이름을 가진 역할을 찾습니다. IAM 역할에 연결된 권한 정책을 검토합니다. 정책이 AWS 관리형 정책인 경우 AdministratorAccess 또는를 찾습니다IAMFullAccess. 그렇지 않으면 정책 문서에서 "Effect": "Allow", "Action": "*", 및를 사용하여 문을 찾습니다"Resource": "*".

최소 권한 액세스 구현

관리 정책을 인스턴스가 작동하는 데 필요한 특정 권한만 부여하는 정책으로 바꿉니다. IAM 역할의 보안 모범 사례에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서의 보안 모범 사례의 최소 권한 적용을 참조하세요. 불필요한 권한을 식별하기 위해 IAM Access Analyzer를 사용하여 액세스 기록을 기반으로 정책을 수정하는 방법을 이해할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서외부 및 미사용 액세스 조사 결과를 참조하세요. 또는 기존 역할을 사용하여 다른 애플리케이션에 영향을 주지 않도록 새 IAM 역할을 생성할 수 있습니다. 이 시나리오에서는 새 IAM 역할을 생성한 다음 새 IAM 역할을 인스턴스와 연결합니다. 인스턴스의 IAM 역할을 교체하는 방법에 대한 지침은 Amazon Elastic Compute Cloud 사용 설명서인스턴스에 IAM 역할 연결을 참조하세요.

보안 구성 고려 사항

인스턴스에 서비스 수준 관리 권한이 필요한 경우 위험을 완화하기 위해 다음과 같은 추가 보안 제어를 구현하는 것이 좋습니다.

  • 보안 구성 고려 사항

    • 다중 인증(MFA) - MFA는 추가 형식의 인증을 요구하여 보안 계층을 추가합니다. 이렇게 하면 자격 증명이 손상되더라도 무단 액세스를 방지할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서멀티 팩터 인증(MFA) 요구 섹션을 참조하세요.

    • IAM 조건 - 조건 요소를 설정하면 소스 IP 또는 MFA 수명과 같은 요인에 따라 관리 권한을 사용할 수 있는 시기와 방법을 제한할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서의 IAM 정책에서 조건 사용을 참조하세요.

    • 권한 경계 - 권한 경계는 역할이 가질 수 있는 최대 권한을 설정하여 관리자 액세스 권한이 있는 역할에 가드레일을 제공합니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서권한 경계를 사용하여 계정 내에서 권한 관리 위임을 참조하세요.

Auto Scaling 그룹의 인스턴스에 업데이트 적용

AWS Auto Scaling 그룹의 Amazon EC2 인스턴스의 경우 새 인스턴스 프로파일로 시작 템플릿 또는 시작 구성을 업데이트하고 인스턴스 새로 고침을 수행합니다. 시작 템플릿 업데이트에 대한 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서시작 템플릿 수정(시작 템플릿 버전 관리)을 참조하세요. 자세한 내용은 인스턴스 새로 고침을 사용하여 Auto Scaling 그룹의 인스턴스 업데이트를 참조하세요. Auto Scaling 그룹에서 IAM 역할을 사용하는 방법에 대한 자세한 내용은 Amazon EC2 Auto Scaling 사용 설명서의 Amazon EC2 인스턴스에서 실행되는 애플리케이션의 IAM 역할을 참조하세요. Amazon EC2 Auto Scaling

Amazon EC2 인스턴스와 연결된 IAM 역할에는 서비스 관리자 정책이 있습니다.

서비스 액세스 정책은 Amazon EC2 인스턴스에 AWS 서비스 및 리소스에 대한 광범위한 권한을 제공합니다. 이러한 정책에는 일반적으로 인스턴스 기능에 필요하지 않은 권한이 포함됩니다. 인스턴스 프로파일에 연결된 역할에 필요한 최소 권한 집합 대신 Amazon EC2 인스턴스에서 관리 액세스 정책을 사용하여 IAM 자격 증명을 제공하면 인스턴스가 손상된 경우 공격 범위가 증가할 수 있습니다. 표준 보안 원칙에 따라 최소 권한을 부여하는 것이 좋습니다. 즉, 작업을 수행하는 데 필요한 권한만 부여하는 것입니다.

관리 정책 검토 및 식별

IAM 대시보드에서 역할 이름을 가진 역할을 찾습니다. IAM 역할에 연결된 권한 정책을 검토합니다. 정책이 AWS 관리형 정책인 경우 AdministratorAccess 또는를 찾습니다IAMFullAccess. 그렇지 않으면 정책 문서에서 "Effect": "Allow", "Action": "*", 및를 사용하여 문을 찾습니다"Resource": "*".

최소 권한 액세스 구현

서비스 관리자 정책을 인스턴스가 작동하는 데 필요한 특정 권한만 부여하는 정책으로 바꿉니다. IAM 역할의 보안 모범 사례에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서의 보안 모범 사례의 최소 권한 적용을 참조하세요. 불필요한 권한을 식별하기 위해 IAM Access Analyzer를 사용하여 액세스 기록을 기반으로 정책을 수정하는 방법을 이해할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서외부 및 미사용 액세스 조사 결과를 참조하세요. 또는 새 IAM 역할을 생성하여 기존 역할을 사용하는 다른 애플리케이션에 영향을 주지 않도록 할 수 있습니다. 이 시나리오에서는 새 IAM 역할을 생성한 다음 새 IAM 역할을 인스턴스와 연결합니다. 인스턴스의 IAM 역할 교체에 대한 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서인스턴스에 IAM 역할 연결을 참조하세요.

보안 구성 고려 사항

인스턴스에 서비스 수준 관리 권한이 필요한 경우 위험을 완화하기 위해 다음과 같은 추가 보안 제어를 구현하는 것이 좋습니다.

보안 구성 고려 사항

인스턴스에 서비스 수준 관리 권한이 필요한 경우 위험을 완화하기 위해 다음과 같은 추가 보안 제어를 구현하는 것이 좋습니다.

  • 다중 인증(MFA) - MFA는 추가 형식의 인증을 요구하여 보안 계층을 추가합니다. 이렇게 하면 자격 증명이 손상되더라도 무단 액세스를 방지할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서멀티 팩터 인증(MFA) 요구 섹션을 참조하세요.

  • IAM 조건 - 조건 요소를 설정하면 소스 IP 또는 MFA 수명과 같은 요인에 따라 관리 권한을 사용할 수 있는 시기와 방법을 제한할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서의 IAM 정책에서 조건 사용을 참조하세요.

  • 권한 경계 - 권한 경계는 역할이 가질 수 있는 최대 권한을 설정하여 관리자 액세스 권한이 있는 역할에 가드레일을 제공합니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서권한 경계를 사용하여 계정 내 권한 관리 위임을 참조하세요.

Auto Scaling 그룹의 인스턴스에 업데이트 적용

AWS Auto Scaling 그룹의 Amazon EC2 인스턴스의 경우 새 인스턴스 프로파일로 시작 템플릿 또는 시작 구성을 업데이트하고 인스턴스 새로 고침을 수행합니다. 시작 템플릿 업데이트에 대한 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서시작 템플릿 수정(시작 템플릿 버전 관리)을 참조하세요. 자세한 내용은 인스턴스 새로 고침을 사용하여 Auto Scaling 그룹의 인스턴스 업데이트를 참조하세요. Auto Scaling 그룹에서 IAM 역할을 사용하는 방법에 대한 자세한 내용은 Amazon EC2 Auto Scaling 사용 설명서의 Amazon EC2 인스턴스에서 실행되는 애플리케이션의 IAM 역할을 참조하세요. Amazon EC2 Auto Scaling

Amazon EC2 인스턴스에는 SSH 또는 RDP 액세스를 허용하는 보안 그룹 또는 네트워크 ACL이 있습니다.

SSH 및 RDP와 같은 원격 액세스 프로토콜을 사용하면 사용자가 외부 위치에서 Amazon EC2 인스턴스에 연결하고 관리할 수 있습니다. 보안 그룹이 인터넷에서 이러한 프로토콜에 대한 무제한 액세스를 허용하면 인스턴스에 대한 인터넷 액세스를 허용하여 Amazon EC2 인스턴스의 공격 표면이 증가합니다. 표준 보안 원칙에 따라 원격 액세스를 신뢰할 수 있는 특정 IP 주소 또는 범위로 제한하는 것이 AWS 좋습니다.

  1. 보안 그룹 규칙 수정

    Amazon EC2 인스턴스에 대한 액세스를 신뢰할 수 있는 특정 IP 주소로 제한합니다. SSH 및 RDP 액세스를 신뢰할 수 있는 특정 IP 주소로 제한하거나 CIDR 표기법을 사용하여 IP 범위(예: 198.168.1.0/24)를 지정합니다. 보안 그룹 규칙을 수정하려면 Amazon Elastic Compute Cloud 사용 설명서보안 그룹 규칙 구성을 참조하세요.

Amazon EC2 인스턴스에 열린 보안 그룹이 있음

보안 그룹은 Amazon EC2 인스턴스의 가상 방화벽 역할을 하여 인바운드 및 아웃바운드 트래픽을 제어합니다. IP 주소에서 무제한 액세스를 허용하는 열린 보안 그룹은 인스턴스를 무단 액세스에 노출시킬 수 있습니다. 표준 보안 원칙에 따라 보안 그룹 액세스를 특정 IP 주소 및 포트로 제한하는 것이 AWS 좋습니다.

보안 그룹 규칙 검토 및 현재 구성 평가

와 같은 광범위한 IP 범위에서 개방되고 액세스할 수 있는 포트를 평가합니다(0.0.0.0/0 or ::/0). 보안 그룹 세부 정보를 보는 방법에 대한 지침은 Porting Assistant for .NET API 참조의 DescribeSecurityGroups를 참조하세요.

보안 그룹 규칙 수정

보안 그룹 규칙을 수정하여 신뢰할 수 있는 특정 IP 주소 또는 범위에 대한 액세스를 제한합니다. 보안 그룹 규칙을 업데이트할 때는 각 필수 소스 IP 범위에 대한 규칙을 생성하거나 특정 포트에 대한 액세스를 제한하여 서로 다른 네트워크 세그먼트에 대한 액세스 요구 사항을 분리하는 것이 좋습니다. 보안 그룹 규칙을 수정하려면 Amazon EC2 사용 설명서보안 그룹 규칙 구성을 참조하세요.

Amazon EC2 인스턴스에 퍼블릭 IP 주소가 있음

퍼블릭 IP 주소가 있는 Amazon EC2 인스턴스는 인터넷에서 공개적으로 액세스할 수 있습니다. 외부 고객에게 서비스를 제공하는 인스턴스에는 퍼블릭 IP 주소가 필요할 때도 있지만, 무단 보안 주체가 이를 잠재적으로 사용할 수 있습니다. 표준 보안 원칙에 따라는 가능하면 리소스의 공개 노출을 제한할 것을 AWS 권장합니다.

인스턴스를 프라이빗 서브넷으로 이동

인스턴스에 직접 인터넷 액세스가 필요하지 않은 경우 VPC 내의 프라이빗 서브넷으로 인스턴스를 이동하는 것이 좋습니다. 이렇게 하면 퍼블릭 IP 주소가 제거되는 동시에 VPC 내의 다른 리소스와 통신할 수 있습니다. 자세한 내용은 AWS 지식 센터의 Amazon EC2 인스턴스를 다른 서브넷, 가용 영역 또는 VPC로 이동하려면 어떻게 해야 합니까?를 참조하세요.

퍼블릭 IP 주소 없이 시작하도록 인스턴스 구성

인스턴스가 퍼블릭 IP 주소가 필요하지 않은 퍼블릭 서브넷에서 시작된 경우 퍼블릭 IP 주소가 자동으로 할당되지 않도록 시작 구성을 수정할 수 있습니다. 서브넷 수준에서 또는 개별 인스턴스를 시작할 때 비활성화할 수 있습니다. 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서의 서브넷의 IP 주소 지정 속성 수정Amazon Elastic Compute Cloud 사용 설명서의 Amazon EC2instance IP 주소 지정을 참조하세요.

대체 액세스 방법

대체 액세스 방법에 대해 다음 옵션을 고려하세요.

  • 아웃바운드 인터넷 연결에 NAT 게이트웨이 사용 -

    인터넷에 액세스해야 하는 프라이빗 서브넷의 인스턴스(예: 업데이트 다운로드)의 경우 퍼블릭 IP 주소를 할당하는 대신 NAT 게이트웨이를 사용하는 것이 좋습니다. NAT 게이트웨이를 사용하면 프라이빗 서브넷의 인스턴스가 인터넷으로부터의 인바운드 연결을 방지하면서 인터넷으로의 아웃바운드 연결을 시작할 수 있습니다. 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서NAT 게이트웨이를 참조하세요.

  • Elastic Load Balancing 사용 - 웹 애플리케이션을 실행하는 인스턴스의 경우 Elastic Load Balancer(LB)를 사용하는 것이 좋습니다. LBs는 퍼블릭 서브넷에서 실행되고 인터넷 트래픽을 처리하는 동안 인스턴스가 프라이빗 서브넷에서 실행되도록 구성할 수 있습니다. 자세한 내용은 AWS ELB 사용 설명서의 Elastic Load Balancing이란 무엇입니까?를 참조하세요. LB의 고정 전략을 선택하는 방법에 대한 지침은 AWS 권장 가이드로드 밸런서 서브넷을 참조하세요.

EC2 인스턴스의 연결성 특성

다음은 EC2 인스턴스의 연결성 특성과 제안된 문제 해결 단계입니다.

EC2 인스턴스는 인터넷을 통해 연결할 수 있습니다.

인터넷 게이트웨이(Application Load Balancer 또는 Classic Load Balancer 뒤에 있는 인스턴스 포함), VPC 피어링 연결 또는 VPN 가상 게이트웨이를 통해 인터넷에서 연결할 수 있는 포트가 있는 Amazon EC2 인스턴스는 인스턴스를 인터넷에 노출할 수 있습니다. 표준 보안 원칙에 따라 인바운드 트래픽을 필요한 소스 및 포트로만 제한하여 최소 권한 네트워크 액세스 제어를 구현하는 것이 좋습니다.

보안 그룹 규칙 수정 또는 제거

리소스 탭에서 Amazon EC2 보안 그룹의 리소스를 엽니다. 인스턴스가 작동하는 데 인터넷 액세스가 필요한지 검토합니다. 무제한 액세스를 허용하는 인바운드 보안 그룹 규칙을 수정하거나 제거합니다(0.0.0.0/0 또는 ::/0). 특정 IP 범위 또는 보안 그룹을 기반으로 보다 제한적인 규칙을 구현합니다. 제한된 퍼블릭 액세스가 필요한 경우 인스턴스의 함수에 필요한 특정 포트 및 프로토콜로 액세스를 제한합니다. 보안 그룹 규칙 관리에 대한 지침은 Amazon EC2 사용 설명서보안 그룹 규칙 구성을 참조하세요.

네트워크 ACLs 업데이트

인스턴스의 서브넷과 연결된 네트워크 액세스 제어 목록(ACLs)을 검토하고 수정합니다. ACL 설정이 보안 그룹 변경 사항과 일치하고 의도치 않게 퍼블릭 액세스를 허용하지 않는지 확인합니다. 네트워크 ACLs 수정에 대한 지침은 Amazon VPC 사용 설명서네트워크 ACLs 작업을 참조하세요.

대체 액세스 방법

대체 액세스 방법에 대해 다음 옵션을 고려하세요.

  • 아웃바운드 인터넷 연결에 NAT 게이트웨이 사용 - 인터넷에 액세스해야 하는 프라이빗 서브넷의 인스턴스(예: 업데이트 다운로드)의 경우 퍼블릭 IP 주소를 할당하는 대신 NAT 게이트웨이를 사용하는 것이 좋습니다. NAT 게이트웨이를 사용하면 프라이빗 서브넷의 인스턴스가 인터넷으로부터의 인바운드 연결을 방지하면서 인터넷으로의 아웃바운드 연결을 시작할 수 있습니다.

  • Systems Manager 세션 관리자 사용 - 세션 관리자는 인바운드 포트, SSH 키 관리 또는 접속 호스트 유지 관리 없이 Amazon EC2 인스턴스에 대한 보안 쉘 액세스를 제공합니다.

  • WAF 및 Elastic Load Balancing 또는 Application Load Balancer 사용 - 웹 애플리케이션을 실행하는 인스턴스의 경우 AWS 웹 애플리케이션 방화벽(WAF)과 결합된 LB를 사용하는 것이 좋습니다. LBs는 퍼블릭 서브넷에서 실행되고 인터넷 트래픽을 처리하는 동안 인스턴스가 프라이빗 서브넷에서 실행되도록 구성할 수 있습니다. 로드 밸런서에 WAF를 추가하면 웹 악용 및 봇에 대한 추가 보호 기능이 제공됩니다.

Amazon VPC 내에서 Amazon EC2 인스턴스에 연결할 수 있습니다.

Amazon Virtual Private Cloud(Amazon VPC)를 사용하면 정의된 가상 네트워크에서 AWS 리소스를 시작할 수 있습니다. 인스턴스 간 무제한 액세스를 허용하는 Amazon VPC 네트워크 구성은 인스턴스가 손상된 경우 공격 범위를 늘릴 수 있습니다. 보안 모범 사례에 따라는 서브넷 및 보안 그룹 수준에서 네트워크 세분화 및 최소 권한 액세스 제어를 구현하는 것을 AWS 권장합니다.

Amazon VPC 네트워크 연결 패턴 검토

노출 조사 결과에서 ARN의 보안 그룹 ID를 식별합니다. 어떤 인스턴스가 서로 통신해야 하고 어떤 포트에서 통신해야 하는지 식별합니다. Amazon VPC 흐름 로그를 사용하여 Amazon VPC의 기존 트래픽 패턴을 분석하여 사용 중인 포트를 식별할 수 있습니다.

보안 그룹 규칙 수정

보안 그룹 규칙을 수정하여 신뢰할 수 있는 특정 IP 주소 또는 범위에 대한 액세스를 제한합니다. 예를 들어 전체 VPC CIDR 범위(예: 10.0.0.0/16)의 모든 트래픽을 허용하는 대신 특정 보안 그룹 또는 IP 범위로 액세스를 제한합니다. 보안 그룹 규칙을 업데이트할 때는 각 필수 소스 IP 범위에 대한 규칙을 생성하거나 특정 포트에 대한 액세스를 제한하여 서로 다른 네트워크 세그먼트에 대한 액세스 요구 사항을 분리하는 것이 좋습니다. 보안 그룹 규칙을 수정하려면 Amazon EC2User 설명서의 보안 그룹 규칙 구성을 참조하세요.

보안 요구 사항 또는 함수에 따라 Amazon VPC 리소스를 서브넷으로 구성하는 것이 좋습니다. 예를 들어 웹 서버와 데이터베이스 서버를 별도의 서브넷에 배치합니다. 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서VPC용 서브넷을 참조하세요.

서브넷 수준 보호를 위한 네트워크 ACLs 구성

네트워크 액세스 제어 목록(NACLs)은 서브넷 수준에서 추가 보안 계층을 제공합니다. 보안 그룹과 달리 NACLs은 상태 비저장이며 인바운드 및 아웃바운드 규칙을 모두 명시적으로 정의해야 합니다. 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서네트워크 액세스 제어 목록을 사용하여 서브넷 트래픽 제어를 참조하세요.

추가 고려 사항

Amazon VPC에 대한 액세스를 제한할 때 다음 사항을 고려하세요.

EC2 인스턴스의 취약성 특성

다음은 EC2 인스턴스의 취약성 특성과 권장 문제 해결 단계입니다.

EC2 인스턴스에 악용 가능성이 높은 네트워크 확장 가능 소프트웨어 취약성이 있음

EC2 인스턴스에 설치된 소프트웨어 패키지는 일반적인 취약성 및 노출(CVEs. 중요한 CVEs AWS 환경에 심각한 보안 위험을 초래합니다. 권한이 없는 보안 주체는 이러한 패치되지 않은 취약성을 악용하여 데이터의 기밀성, 무결성 또는 가용성을 손상시키거나 다른 시스템에 액세스할 수 있습니다. 악용 가능성이 높은 심각한 취약성은 공격자 또는 자동 스캔 도구에서 악용 코드를 이미 공개적으로 사용할 수 있고 적극적으로 사용할 수 있으므로 즉각적인 보안 위협을 나타냅니다. 이러한 취약성을 패치하여 인스턴스를 보호하는 것이 좋습니다.

영향을 받는 인스턴스 업데이트

특성의 취약성 탭에서 참조 섹션을 검토합니다. 공급업체 설명서에는 특정 수정 지침이 포함될 수 있습니다. 다음 일반 지침을 사용하여 적절한 문제 해결을 따르세요.

Systems Manager Patch Manager를 사용하여 운영 체제와 애플리케이션 모두에 패치를 적용합니다. 패치 관리자를 사용하면 대규모 인스턴스 그룹에 운영 체제 및 소프트웨어 패치를 자동으로 선택하고 배포할 수 있습니다. 패치 관리자를 구성하지 않은 경우 영향을 받는 각 인스턴스에서 운영 체제를 수동으로 업데이트합니다.

공급업체의 권장 절차에 따라 영향을 받는 애플리케이션을 최신 보안 버전으로 업데이트합니다. 여러 인스턴스에서 애플리케이션 업데이트를 관리하려면 Systems Manager State Manager를 사용하여 소프트웨어를 일관된 상태로 유지하는 것이 좋습니다. 업데이트를 사용할 수 없는 경우 패치가 릴리스되거나 애플리케이션에 대한 네트워크 액세스 제한 또는 취약한 기능 비활성화와 같은 기타 완화 조치가 있을 때까지 취약한 애플리케이션을 제거하거나 비활성화하는 것이 좋습니다.

Amazon Inspector 결과에 제공된 특정 문제 해결 조언을 따릅니다. 여기에는 보안 그룹 규칙 변경, 인스턴스 구성 수정 또는 애플리케이션 설정 조정이 포함될 수 있습니다.

인스턴스가 Auto Scaling 그룹의 일부인지 확인합니다. AMI 교체 패치는 Auto Scaling 그룹에 새 Amazon EC2 인스턴스를 배포하도록 구성된 AMI ID를 업데이트하여 변경 불가능한 인프라에서 수행됩니다. 사용자 지정/골든 AMI를 사용하는 경우 새 AMI로 인스턴스를 생성한 다음 인스턴스를 사용자 지정하고 새 골든 AMI를 생성합니다. 자세한 내용은 AMI 업데이트 패치 적용(Auto Scaling 그룹에 패치된 AMIs을 참조하세요.

향후 고려 사항

향후 발생을 방지하려면 취약성 관리 프로그램을 구현하는 것이 좋습니다. Amazon Inspector는 인스턴스에서 CVEs 자동으로 스캔하도록 구성할 수 있습니다. Amazon Inspector는 자동 문제 해결을 위해 Security Hub와 통합할 수도 있습니다. 인스턴스 중단을 최소화하려면 Systems Manager Maintenance Windows를 사용하여 정기적인 패치 적용 일정을 구현하는 것이 좋습니다.

Amazon EC2 인스턴스에 소프트웨어 취약성이 있음

Amazon EC2instances에 설치된 소프트웨어 패키지는 일반적인 취약성 및 노출(CVEs. 중요하지 않은 CVEs 중요 CVEs에 비해 심각도 또는 악용 가능성이 낮은 보안 약점을 나타냅니다. 이러한 취약성은 즉각적인 위험을 초래하지 않지만 공격자는 패치되지 않은 이러한 취약성을 악용하여 데이터의 기밀성, 무결성 또는 가용성을 손상시키거나 다른 시스템에 액세스할 수 있습니다. 보안 모범 사례에 따라는 이러한 취약성을 패치하여 인스턴스를 공격으로부터 보호하는 것이 AWS좋습니다.

영향을 받는 인스턴스 업데이트

AWS Systems Manager Patch Manager를 사용하여 운영 체제에 패치를 적용합니다. 패치 관리자를 사용하면 대규모 인스턴스 그룹에 운영 체제 및 소프트웨어 패치를 자동으로 선택하고 배포할 수 있습니다. 패치 관리자를 구성하지 않은 경우 영향을 받는 각 인스턴스에서 운영 체제를 수동으로 업데이트합니다.

공급업체의 권장 절차에 따라 영향을 받는 애플리케이션을 최신 보안 버전으로 업데이트합니다. 여러 인스턴스에서 애플리케이션 업데이트를 관리하려면 AWS Systems Manager State Manager를 사용하여 소프트웨어를 일관된 상태로 유지하는 것이 좋습니다. 업데이트를 사용할 수 없는 경우 패치가 릴리스되거나 애플리케이션에 대한 네트워크 액세스 제한 또는 취약한 기능 비활성화와 같은 기타 완화 조치가 있을 때까지 취약한 애플리케이션을 제거하거나 비활성화하는 것이 좋습니다.

Amazon Inspector 결과에 제공된 특정 문제 해결 조언을 따릅니다. 여기에는 보안 그룹 규칙 변경, 인스턴스 구성 수정 또는 애플리케이션 설정 조정이 포함될 수 있습니다.

인스턴스가 Auto Scaling 그룹의 일부인지 확인합니다. AMI 교체 패치는 Auto Scaling 그룹에 새 Amazon EC2 인스턴스를 배포하도록 구성된 AMI ID를 업데이트하여 변경 불가능한 인프라에서 수행됩니다. 사용자 지정/골든 AMI를 사용하는 경우 새 AMI로 인스턴스를 생성한 다음 인스턴스를 사용자 지정하고 새 골든 AMI를 생성합니다. 자세한 내용은 AMI 업데이트 패치 적용(Auto Scaling 그룹에 패치된 AMIs을 참조하세요.

향후 고려 사항

향후 발생을 방지하려면 취약성 관리 프로그램을 구현하는 것이 좋습니다. Amazon Inspector는 인스턴스에서 CVEs 자동으로 스캔하도록 구성할 수 있습니다. Amazon Inspector는 자동 문제 해결을 위해 Security Hub와 통합할 수도 있습니다. 인스턴스 중단을 최소화하려면 Systems Manager Maintenance Windows를 사용하여 정기적인 패치 적용 일정을 구현하는 것이 좋습니다.