IAM 사용자의 노출 문제 해결

AWS Security Hub는 AWS Identity and Access Management (IAM) 사용자에 대한 노출 조사 결과를 생성할 수 있습니다.

Security Hub 콘솔에서 노출 조사 결과에 관여한 IAM 사용자와 해당 식별 정보는 조사 결과 세부 정보의 리소스 섹션에 나열됩니다. 프로그래밍 방식으로 Security Hub API의 GetFindingsV2 작업을 통해 리소스 세부 정보를 검색할 수 있습니다.

노출 조사 결과와 관련된 리소스를 식별한 후 필요하지 않은 경우 리소스를 삭제할 수 있습니다. 필수적이지 않은 리소스를 삭제하면 노출 프로필과 AWS 비용을 줄일 수 있습니다. 리소스가 필요한 경우 다음 권장 문제 해결 단계를 수행하여 위험을 완화하세요. 문제 해결 주제는 특성 유형에 따라 구분됩니다.

단일 노출 조사 결과에는 여러 문제 해결 주제에서 식별된 문제가 포함됩니다. 반대로, 하나의 문제 해결 주제만 처리하여 노출 조사 결과를 해결하고 심각도 수준을 낮출 수 있습니다. 위험 해결 방법은 조직의 요구 사항과 워크로드에 따라 달라집니다.

참고

이 주제에 제공된 문제 해결 지침은 다른 AWS 리소스에서 추가 상담이 필요할 수 있습니다.

IAM 모범 사례에서는 개별 IAM 사용자를 생성하는 대신 IAM 역할을 생성하거나 자격 증명 공급자와의 페더레이션을 사용하여 임시 자격 증명을 사용하여에 액세스하는 AWS 것이 좋습니다. 조직 및 사용 사례에 대한 옵션인 경우 IAM 사용자를 사용하는 대신 역할 또는 페더레이션으로 전환하는 것이 좋습니다. 자세한 내용은 IAM 사용 설명서에서 IAM 사용자를 참조하세요.

목차

• IAM 사용자의 잘못된 구성 특성

  • IAM 사용자에게 관리 액세스 권한이 있는 정책이 있음

  • IAM 사용자에게 MFA가 활성화되어 있지 않습니다.

  • IAM 사용자에게에 대한 관리 액세스 권한이 있는 정책이 있습니다. AWS 서비스

  • IAM 사용자의 AWS 계정에 약한 암호 정책이 있습니다.

  • IAM 사용자에게 미사용 자격 증명이 있음

  • IAM 사용자에게 회전되지 않은 액세스 키가 있음

  • IAM 사용자에게 KMS 키 복호화에 대한 무제한 액세스를 허용하는 정책이 있습니다.

IAM 사용자의 잘못된 구성 특성

다음은 IAM 사용자의 잘못된 구성 특성과 제안된 수정 단계입니다.

IAM 사용자에게 관리 액세스 권한이 있는 정책이 있음

IAM 정책은 리소스에 액세스할 때 IAM 사용자에게 일련의 권한을 부여합니다. 관리 정책은 IAM 사용자에게 AWS 서비스 및 리소스에 대한 광범위한 권한을 제공합니다. 사용자에게 필요한 최소 권한 집합 대신 전체 관리 권한을 제공하면 자격 증명이 손상된 경우 공격 범위가 증가할 수 있습니다. 표준 보안 원칙에 따라 최소 권한을 부여하는 것이 AWS 좋습니다. 즉, 작업을 수행하는 데 필요한 권한만 부여하는 것입니다.

1. 관리 정책 검토 및 식별 - 리소스 ID에서 IAM 역할 이름을 식별합니다. IAM 대시보드로 이동하여 식별된 역할을 선택합니다. IAM 사용자에게 연결된 권한 정책을 검토합니다. 정책이 AWS 관리형 정책인 경우 AdministratorAccess 또는를 찾습니다IAMFullAccess. 그렇지 않으면 정책 문서에서를 "Effect": "Allow" "Action": "*" 초과하는 문이 있는 문을 찾습니다"Resource": "*".

2. 최소 권한 액세스 구현 - 서비스 관리 정책을 사용자가 작동하는 데 필요한 특정 권한만 부여하는 정책으로 바꿉니다. IAM 정책의 보안 모범 사례에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서의 최소 권한 적용을 참조하세요. 불필요한 권한을 식별하기 위해 IAM Access Analyzer를 사용하여 액세스 기록을 기반으로 정책을 수정하는 방법을 이해할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서의 외부 및 미사용 액세스 조사 결과를 참조하세요.

3. 보안 구성 고려 사항 - 인스턴스에 서비스 관리 권한이 필요한 경우 위험을 완화하기 위해 다음과 같은 추가 보안 제어를 구현하는 것이 좋습니다.

   • 다중 인증(MFA) - MFA는 추가 형식의 인증을 요구하여 보안 계층을 추가합니다. 이렇게 하면 자격 증명이 손상되더라도 무단 액세스를 방지할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서의 다중 인증(MFA) 요구 섹션을 참조하세요.

   • IAM 조건 - 조건 요소를 설정하면 소스 IP 또는 MFA 수명과 같은 요인에 따라 관리 권한을 사용할 수 있는 시기와 방법을 제한할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서의 IAM 정책의 조건 사용을 참조하세요.

   • 권한 경계 - 권한 경계는 역할이 가질 수 있는 최대 권한을 설정하여 관리자 액세스 권한이 있는 역할에 가드레일을 제공합니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서의 권한 경계를 사용하여 계정 내에서 권한 관리 위임을 참조하세요.

IAM 사용자에게 MFA가 활성화되어 있지 않습니다.

다중 인증(MFA)을 통해 사용자 이름 및 비밀번호 외에 보호 계층이 한 단계 더 추가됩니다. MFA가 활성화되고 IAM 사용자가 AWS 웹 사이트에 로그인하면 AWS MFA 디바이스에서 사용자 이름, 암호 및 인증 코드를 입력하라는 메시지가 표시됩니다. 인증 보안 주체는 시간에 민감한 키를 내보내는 디바이스를 가지고 있어야 하며 보안 인증에 대한 지식이 있어야 합니다. MFA가 없으면 사용자의 암호가 손상되면 공격자는 사용자의 AWS 권한에 대한 전체 액세스 권한을 얻게 됩니다. 표준 보안 원칙에 따라는 AWS Management Console 액세스 권한이 있는 모든 계정 및 사용자에 대해 MFA를 활성화하는 것을 AWS 권장합니다.

MFA 유형 검토

AWS 는 다음 MFA 유형을 지원합니다.

• 패스키 및 보안 키

• 가상 인증 애플리케이션

• 하드웨어 TOTP 토큰

물리적 디바이스를 사용한 인증은 일반적으로 더 엄격한 보안 보호를 제공하지만 모든 유형의 MFA를 사용하는 것이 MFA를 비활성화하는 것보다 더 안전합니다.

MFA 활성화

요구 사항에 맞는 MFA 유형을 활성화하려면 AWS IAM 사용 설명서의 IAM의 멀티 팩터 인증을 참조하세요. 구현하려는 특정 MFA 유형에 대한 단계를 따릅니다. 많은 사용자를 관리하는 조직의 경우 MFA가 민감한 리소스에 액세스하도록 요구하여 MFA 사용을 적용할 수 있습니다.

IAM 사용자에게에 대한 관리 액세스 권한이 있는 정책이 있습니다. AWS 서비스

서비스 관리자 정책은 IAM 사용자에게 특정 AWS 서비스 내에서 모든 작업을 수행할 수 있는 권한을 제공합니다. 이러한 정책에는 일반적으로 사용자가 직무를 수행하는 데 필요하지 않은 권한이 포함됩니다. IAM 사용자에게 필요한 최소 권한 집합 대신 서비스 관리자 권한을 제공하면 자격 증명이 손상된 경우 공격 범위가 늘어납니다. 표준 보안 원칙에 따라 최소 권한을 부여하는 것이 AWS 좋습니다. 즉, 작업을 수행하는 데 필요한 권한만 부여하는 것입니다.

서비스 관리자 정책 검토 및 식별

리소스 ID에서 IAM 역할 이름을 식별합니다. IAM 대시보드로 이동하여 식별된 역할을 선택합니다. IAM 사용자에게 연결된 권한 정책을 검토합니다. 정책이 AWS 관리형 정책인 경우 AdministratorAccess 또는를 찾습니다IAMFullAccess. 그렇지 않으면 정책 문서에서 문이 "인 문을 찾습니다Effect": "Allow" with "Action": "*" over "Resource": "*".

최소 권한 액세스 구현

서비스 관리 정책을 사용자가 작동하는 데 필요한 특정 권한만 부여하는 정책으로 바꿉니다. 불필요한 권한을 식별하기 위해 IAM Access Analyzer를 사용하여 액세스 기록을 기반으로 정책을 수정하는 방법을 이해할 수 있습니다.

보안 구성 고려 사항

인스턴스에 서비스 관리 권한이 필요한 경우 노출을 완화하기 위해 다음과 같은 추가 보안 제어를 구현하는 것이 좋습니다.

• MFA는 추가 형식의 인증을 요구하여 보안 계층을 추가합니다. 이렇게 하면 자격 증명이 손상되더라도 무단 액세스를 방지할 수 있습니다.

• 조건 요소를 사용하여 소스 IP 또는 MFA 수명과 같은 요인에 따라 관리 권한을 사용할 수 있는 시기와 방법을 제한합니다.

• 권한 경계를 사용하여 역할이 가질 수 있는 최대 권한을 설정하여 관리 액세스 권한이 있는 역할에 대한 가드레일을 제공합니다.

IAM 사용자의 AWS 계정에 약한 암호 정책이 있습니다.

암호 정책은 IAM 사용자 암호에 대한 최소 복잡성 요구 사항을 적용하여 무단 액세스로부터 보호하는 데 도움이 됩니다. 강력한 암호 정책이 없으면 암호 추측 또는 무차별 대입 공격을 통해 사용자 계정이 손상될 위험이 증가합니다. 표준 보안 원칙에 따라는 사용자가 추측하기 어려운 복잡한 암호를 생성할 수 있도록 강력한 암호 정책을 구현하는 것이 AWS 좋습니다.

강력한 암호 정책 구성

IAM 대시보드로 이동하여 계정 설정으로 이동합니다. 최소 길이, 필요한 문자 유형, 암호 만료 설정을 포함하여 계정의 현재 암호 정책 설정을 검토합니다.

암호 정책을 설정할 때 최소한 다음 모범 사례를 따르는 것이 AWS 좋습니다.

• 하나 이상의 대문자가 필요합니다.

• 하나 이상의 소문자가 필요합니다.

• 하나 이상의 기호가 필요합니다.

• 하나 이상의 숫자가 필요합니다.

• 8자 이상이어야 합니다.

추가 보안 고려 사항

강력한 암호 정책 외에도 다음과 같은 추가 보안 조치를 고려하세요.

• MFA는 추가 형식의 인증을 요구하여 보안 계층을 추가합니다. 이렇게 하면 자격 증명이 손상되더라도 무단 액세스를 방지할 수 있습니다.

• 소스 IP 또는 MFA 수명과 같은 요인에 따라 관리 권한을 사용할 수 있는 시기와 방법을 제한하도록 조건 요소를 설정합니다.

IAM 사용자에게 미사용 자격 증명이 있음

90일 이상 비활성 상태로 유지된 암호 및 액세스 키를 포함한 미사용 자격 증명은 AWS 환경에 보안 위험을 초래합니다. 이러한 미사용 자격 증명은 공격자를 위한 잠재적 공격 벡터를 생성하고 조직의 전체 공격 영역을 늘립니다. 보안 모범 사례에 따라는 공격 표면을 줄이기 위해 90일 이상 사용하지 않은 자격 증명을 비활성화하거나 제거하는 것을 AWS 권장합니다.

미사용 자격 증명 비활성화 또는 제거

노출 조사 결과에서 리소스를 엽니다. 그러면 사용자 세부 정보 창이 열립니다. 미사용 자격 증명에 대한 조치를 취하기 전에 환경에 미치는 잠재적 영향을 평가합니다. 적절한 평가 없이 자격 증명을 제거하면 백그라운드 프로세스, 예약된 작업 등이 중단될 수 있습니다. 영구 제거 전에 짧은 비활성화 기간을 고려하여 미사용 자격 증명 제거의 영향을 확인합니다.

자격 증명 유형에 따라 적절한 조치를 취합니다.

• 사용하지 않는 콘솔 암호의 경우 먼저 암호를 변경하고 일시적으로 비활성화하는 것이 좋습니다. 문제가 발생하지 않으면 영구 비활성화 또는 삭제를 진행합니다.

• 미사용 액세스 키의 경우 먼저 키를 비활성화하는 것이 좋습니다. 영향을 받는 시스템이 없는지 확인한 후 영구 비활성화 또는 삭제를 진행합니다.

• 미사용 사용자의 경우 전체 삭제 전에 제한 정책을 연결하여 사용자를 일시적으로 비활성화하는 것이 좋습니다.

IAM 사용자에게 회전되지 않은 액세스 키가 있음

액세스 키는 AWS 리소스에 프로그래밍 방식으로 액세스할 수 있는 액세스 키 ID와 보안 액세스 키로 구성됩니다. 액세스 키가 장기간 변경되지 않으면 손상된 경우 무단 액세스 위험이 증가합니다. 보안 모범 사례에 따라는 공격자가 손상된 자격 증명을 사용할 기회를 최소화하기 위해 90일마다 액세스 키를 교체하는 것을 AWS 권장합니다.

액세스 키 교체

노출 조사 결과에서 리소스를 엽니다. 그러면 사용자 세부 정보 창이 열립니다. 액세스 키를 교체하려면 IAM 사용 설명서의 IAM 사용자의 액세스 키 관리를 참조하세요.

IAM 사용자에게 KMS 키 복호화에 대한 무제한 액세스를 허용하는 정책이 있습니다.

AWS KMS 를 사용하면 데이터를 보호하는 데 사용되는 암호화 키를 생성하고 관리할 수 있습니다. 모든 KMS 키에 대해 무제한 AWS KMS 복호화 권한(예: kms:Decrypt 또는 kms:ReEncryptFrom)을 허용하는 IAM 정책은 IAM 사용자의 자격 증명이 손상되면 무단 데이터 액세스로 이어질 수 있습니다. 공격자가 이러한 자격 증명에 액세스할 경우 사용자 환경에서 암호화된 데이터를 해독할 수 있으며, 여기에는 민감한 데이터가 포함될 수 있습니다. 보안 모범 사례에 따라는 AWS KMS 복호화 권한을 사용자에게 직무에 필요한 특정 키로만 제한하여 최소 권한 구현을 AWS 권장합니다.

최소 권한 액세스 구현

노출 조사 결과에서 리소스를 엽니다. 그러면 IAM 정책 창이 열립니다. KMS에서 리소스 사양이 인 kms:Decrypt kms:ReEncryptFrom 또는 또는 KMS:*를 허용하는 권한을 찾습니다"*". AWS KMS 복호화 권한을 필요한 특정 키로만 제한하도록 정책을 업데이트합니다. 정책을 수정하여 "*" 리소스를 필수 AWS KMS 키의 특정 ARNs.

보안 구성 고려 사항

이러한 권한을 사용할 수 있는 시기를 추가로 제한하는 조건을 추가하는 것이 좋습니다. 예를 들어 복호화 작업을 특정 VPC 엔드포인트 또는 소스 IP 범위로 제한할 수 있습니다. 특정 KMS 키를 사용할 수 있는 사용자를 추가로 제한하도록 키 정책을 구성할 수도 있습니다.