[정보 보안] 7. AWS 취약점 관리 기초

클라우드 환경

- 인터넷을 통한 서비스를 우리가 원할 때 빌려서 사용할 수 있는 것! (사용한 만큼만 비용 지불)

 

- On Premises (서버를 직접적으로 갖추는 것) - 자차

ex) 내가 CPU사고 디스크 넣고 라우터 깔고 다 알아서 내가 하는 것

 

- IaaS (인프라를 서비스로 제공, 가상화된 형태로 컴퓨팅 리소스를 제공 받음) - 렌트카

ex) EC2, GCE 등

 

- PaaS (서버 관리없이 코드만 올리면 알아서 실행시켜주는 환경) (IDE 자동 제공) - 택시

ex) AWS Elastic Beanstalk, Google App Engine

 

- SaaS (인터넷과 인터넷 연결되는 메개체만 있으면 애플리케이션 접근 가능) - 대중교통

ex) Google Docs, Google Slides 등

 

온프레미스

- 기업 자체가 물리적 장소에 인프라 구축해놓은 환경 (직접 구축 & 관리)

ex) 카카오톡 서버 센터 등

- 초기 투자 (구매) 비용이 많이 지출 됨 (vs. 클라우드는 지속적으로 돈이 나감)

- 필요한 만큼 서버 확장과 축소가 어려움 (vs. 클라우드는 유연하게 확장 & 축소 가능)

 

위험, 위협, 취약점

위험 (Risk)

- 위협 + 취약점

 

위협 (Threat)

- 공격을 할 만한 가능성이 있는 요소&사람들

ex) 해커, 자연재해 등

 

취약점 (Vulnerability)

- 시스템 보호 막을 통과&무력화 할 수 있는 약점/결함

 

취약점 관리

- 위협은 제어불가

- 그래서 위험을 줄이기 위해 취약점을 예방/탐지/조치/대응하는 행위

 

Inspector

AWS EC2 - 가상서버

AWS ELB - 로드 밸런싱 (네트워크 트래픽 분산)

AWS Security Group - 방화벽

AWS Lambda - 코드 업로드

AWS VPC - 가상 네트워크

 

Inspector

- 취약점을 잡아내주는 도구 (알아서 분석해서 결과를 내주는 도구)

 

Amazon Inspector V2

- 요즘거

- 인터넷 연결 필요 없음

- pip, npm 같은 것들의 취약점도 찾아줌 (근데 오래걸림)

- 아직 완벽하지는 않음

 

Amazaon Inspector Classic

- 옛날거

- Outbound가 열려있어야 함

- 원할 때 돌릴 수 있고, 진행상황 보여줌

- pip, npm 같은거 안찾아줌

 

Inspector 장점

- 자동 CCE, CVE (주기적)스캔 가능

 

Inspector 단점

- V2일 때 진행상황 알 수 없음, 정상적으로 안될 때 있음 (내가 원할 때 수동 진단 불가)

- Amazon Linux 2023에서 사용불가, 패키지 매니저로 설치된 것만 검사 가능 (특정 환경 실행 불가)

 

System manager

- 하나의 큰 도구 (런 커맨드, 패치 매니저 등이 포함 됨)

- 관리 서비스 (or backdoor, 권한이 엄청 많음)

 

Run command

- 원격에서 서버에 명령어 실행

- 여러 AWS서비스에 동일한 명령어를 실행할 때 유용

- ssh 접속 필요 없음 (상태, 결과 등의 로그가 남음)

- 잘못된 명령어로 서비스가 멈출 수 있음

 

Path manager

- 패치 프로세스 자동화

- (윈도우, 리눅스) 운영체제 보안 업데이트에 사용됨

- But, 결국 Run command에서 업데이트 기능을 넣어논 것! (서비스 멈출 수 있음)

 

EC2 Image Builder

AMI: 스냅샷 기반 이미지 (AWS에서는 기본 제공)

Provisioning: 내가 원하는 상태를 만드는 것 (IAC -> 코드로 하는거)

Image Builder: AWS에서 자동화된 순서에 따라서 생성된 AMI를 쉽게 만들고 관리할 수 있게 해줌

- 하지만 그저 쉘코드를 입력하는 것과 같음

- 그래서 다른 환경에서는 동일하게 작동하지 않음