SEC05-BP04 네트워크 보호 자동화

코드형 인프라(IaC) 및 CI/CD 파이프라인과 같은 관행을 사용하여 DevOps 네트워크 보호 배포를 자동화합니다.  이러한 관행은 버전 제어 시스템을 통해 네트워크 보호의 변경 사항을 추적하고, 변경 사항을 배포하는 데 걸리는 시간을 줄이며, 네트워크 보호가 원하는 구성과 다른지 탐지하는 데 도움이 될 수 있습니다. 

원하는 성과: 템플릿을 사용하여 네트워크 보호를 정의하고 이를 버전 제어 시스템에 커밋합니다.  테스트 및 배포를 오케스트레이션하는 새로운 변경이 발생하면 자동화된 파이프라인이 시작됩니다.  배포 전에 변경 사항을 검증하기 위한 정책 검사 및 기타 정적 테스트가 마련되어 있습니다.  스테이징 환경에 변경 사항을 배포하여 제어 기능이 예상대로 작동하는지 확인합니다.  제어가 승인되면 프로덕션 환경으로의 배포도 자동으로 수행됩니다.

일반적인 안티 패턴:

• 개별 워크로드 팀에 의존하여 각자 전체 네트워크 스택, 보호 및 자동화를 정의합니다.  워크로드 팀이 사용할 수 있도록 네트워크 스택 및 보호의 표준 측면을 중앙 집중식으로 게시하지 않습니다.

• 중앙 네트워크 팀에 의존하여 네트워크, 보호 및 자동화의 모든 측면을 정의합니다.  네트워크 스택 및 보호의 워크로드별 측면을 해당 워크로드 팀에 맡기지 않습니다.

• 네트워크 팀과 워크로드 팀 사이에 중앙 집중화와 위임 간의 적절한 균형을 유지하고 있지만, IaC 템플릿 및 CI/CD 파이프라인 전체에서 일관된 테스트 및 배포 표준을 적용하지 않습니다.  템플릿의 준수 여부를 검사하는 도구에서 필수 구성을 캡처하지 않습니다.

이 모범 사례 확립의 이점: 템플릿을 사용하여 네트워크 보호를 정의하면 버전 제어 시스템을 통해 시간 경과에 따른 변경 사항을 추적하고 비교할 수 있습니다.  자동화를 사용하여 변경 사항을 테스트하고 배포하면 표준화와 예측 가능성을 높여 배포가 성공할 확률이 커지고 반복적인 수동 구성 작업을 줄일 수 있습니다.

이 모범 사례가 확립되지 않을 경우 노출되는 위험 수준: 중간 

구현 가이드

SEC05-BP02 네트워크 계층 내의 트래픽 흐름 제어 및 05-BP03 검사 기반 보호 구현에 설명된 여러 네트워크 보호 제어에는 최신 위협 인텔리전스를 기반으로 자동으로 업데이트할 수 있는 관리형 규칙 시스템이 포함되어 있습니다. SEC05-BP03  웹 엔드포인트 보호의 예로는 AWS WAF 관리형 규칙 및 AWS Shield Advanced 자동 애플리케이션 계층 DDoS 완화 등이 있습니다. AWS Network Firewall 관리형 규칙 그룹을 사용하여 평판이 낮은 도메인 목록과 위협 서명도 최신 상태로 유지합니다.

관리형 규칙 외에도 네트워크 리소스, 보호 및 지정한 규칙의 배포를 자동화하는 DevOps 방법을 사용하는 것이 좋습니다.  이러한 정의를 AWS CloudFormation 또는 다른 원하는 코드형 인프라(IaC) 도구로 캡처하고 버전 제어 시스템에 커밋하며 CI/CD 파이프라인을 사용하여 배포할 수 있습니다.  이 접근 방식을 사용하면 예측 가능한 릴리스, 와 같은 도구를 사용한 자동 테스트, 배포된 환경AWS CloudFormation Guard과 원하는 구성 간의 드리프트 감지와 같은 네트워크 제어 관리에 DevOps 대한 의 기존 이점을 얻을 수 있습니다.

SEC05-BP01 네트워크 계층 생성 의 일환으로 내린 결정에 따라 수신, 송신 및 검사 흐름 VPCs 전용 를 생성하는 중앙 관리 접근 방식이 있을 수 있습니다.  AWS 보안 참조 아키텍처(AWS SRA)에 설명된 대로 전용 네트워크 인프라 계정 VPCs에서 이를 정의할 수 있습니다.  유사한 기법을 사용하여 워크로드에서 VPCs 사용하는 를 다른 계정, 해당 보안 그룹, AWS Network Firewall 배포, Route 53 Resolver 규칙 및 DNS 방화벽 구성, 기타 네트워크 리소스에서 중앙에서 정의할 수 있습니다.  AWS Resource Access Manager을 통해 다른 계정과 이러한 리소스를 공유할 수 있습니다.  이 접근 방식을 사용하면 관리할 대상이 하나뿐이므로, 네트워크 제어 기능은 네트워크 계정에 자동으로 테스트하고 배포하는 작업을 간소화할 수 있습니다.  하이브리드 모델에서 이 작업을 수행할 수 있습니다. 하이브리드 모델에서는 특정 제어 기능을 중앙에서 배포 및 공유하고 다른 제어 기능은 개별 워크로드 팀과 해당 계정에 위임할 수 있습니다.

구현 단계

1. 네트워크와 보호의 어떤 부분을 중앙에서 정의하고 워크로드 팀은 어떤 부분을 유지 관리할지에 대한 소유권을 설정합니다.

2. 네트워크 및 보호에 대한 변경 사항을 테스트하고 배포할 수 있는 환경을 만듭니다.  예를 들어, 네트워크 테스트 계정과 네트워크 프로덕션 계정을 사용하세요.

3. 버전 관리 시스템에서 템플릿을 저장하고 유지 관리하는 방법을 결정합니다.  중앙 템플릿은 워크로드 리포지토리와는 다른 리포지토리에 저장하고, 워크로드 템플릿은 해당 워크로드와 관련된 리포지토리에 저장할 수 있습니다.

4. CI/CD 파이프라인을 생성하여 템플릿을 테스트하고 배포합니다.  잘못된 구성이 있는지 점검하고 템플릿이 기업 표준을 준수하는지 확인하는 테스트를 정의합니다.

리소스

관련 모범 사례:

• SEC01-BP06 표준 보안 제어 배포 자동화

관련 문서:

• AWS Security Reference Architecture - Network account

관련 예제:

• AWS Deployment Pipeline Reference Architecture

• NetDevSecOps AWS 네트워킹 배포 현대화

• AWS Security Hub 및 AWS CodeBuild 보고서와 AWS CloudFormation 보안 테스트 통합

관련 도구:

• AWS CloudFormation

• AWS CloudFormation Guard

• cfn_nag