AWS 보안 3

AWS 보안 3
Amazon GuardDuty는 VPC flow logs, Route 53 DNS query logs, CloudTrail management event logs 등 로그를 분석하여 악성 IP 주소, 도메인 네임과 이와 관련된 악의적인 행동을 탐색한다. CloudWatch의 로그 데이터는 GuardDuty에 따로 전송할 필요는 없다. GuardDuty가 잠재적인 보안 위협을 탐지하면 위협 탐지나 Finding 노티피케이션을 생성하여 관련 요소의 세부 사항을 전달한다. 위협 탐지 내용은 GuardDuty콘솔에 표시되고 CloudWatch Events에도 전송된다. 위협 탐지는 위협의 종류에 따라 여러 타입으로 분류되는 Backdoor, Behavior, Cryptocurrency, Pentest, Persistence, Policy, Recon, ResourceConsumption, Stealth 등이 있다. Backdoor는 EC2 인스턴스가 악성 코드에 감염되거나 해킹되어 스팸 발송에 이용되거나 DDoS 공격 자원으로 활용되고 있음을 의미한다. 이런 타입의 위협은 해당 인스턴스가 SMTP(Simple Mail Transfer Protocol) 표준 포트인 TCP 포트 25로 통신하거나, DDoS 공격에 사용되는 명령 및 제어 서버로 알려진 도메인 네임을 접속했을 때 탐지되어 백도어 공격으로 분류된다. Behavior는 인스턴스가 평소에 잘 사용하지 않는 포트나 프로토콜을 이용해 비정상적으로 통신하거나 비정상적인 대량의 트래픽을 전송했음을 의미한다. Cryptocurrency는 EC2 인스턴스가 Bitcoin 노드로 활용되고 있다는 것이고 Bitcoin에 관련된 작업에 쓰이고 있다는 것을 나타낸다. Pentest는 시스템이 AWS 자원에 대한 모의 해킹 관련 API 호출을 생성하고 있다는 것을 의미한다. Persistence는 작업 이력이 존재하지 않는 IAM 유저가 유저, 리소스 퍼미션, 보안 그룹, 등을 수정했다는 것을 나타내고 Policy는 루트 유저 권한이 사용됐거나, S3의 퍼블릭 액세스 차단 기능이 해제됐음을 의미한다. Recon은 정찰 공격이 진행 중임을 나타내는데 악성 IP 주소가 보안 그룹을 통해 EC2 인스턴스에 접근하거나 관련 내용을 탐색했음을 의미한다. 또 다른 정찰 공격 유형으로 악성 IP 주소가 AWS 계정 내 자원에 대한 API 호출 시도가 있으며, 작업 이력이 존재하지 않는 IAM 유저가 보안 그룹, 네트워크 ACL, 라우트, AWS 리소스, IAM 유저 퍼미션 목록을 조회하는 시도도 포함된다. ResourceConsumption은 작업 이력이 존재하지 않는 IAM 사용자가 EC2 인스턴스 등의 전원을 생성했음을 나타낸다. Stealth는 CloudTrail 로그 기능이 비활성화되거나 수정되는 경우, CloudTrail 로그 기록이 삭제된 경우, 그리고 비밀번호 정책이 약화하였을 때가 해당한다. Amazon Inspector는 EC2 인스턴스에 대한 에이전트 기반 서비스(agent-based service)다. Amazon Inspector는 침해 행위를 탐지하는데 GuardDuty가 인스턴스를 오가는 트래픽을 통해 보안 위협을 탐지하는 반면 Amazon Inspector 에이전트는 인스턴스 자체의 네트워크, 파일 시스템, 프로세스 활동의 적절성을 분석한다. Inspector는 하나 이상의 룰 패키지와 에이전트가 수집한 인스턴스 사용 내용을 비교해 위협 요소의 존재 여부를 판단한다. Amazon Inspector는 Common Vulnerabilities and Exposures, Security Best Practices, Center for Internet Security Benchmarks, Runtime Behavior Analysis, Network Reachability 등 5개의 룰 패키지를 제공한다. Common Vulnerabilities and Exposures는 CVEs로도 부르며 상업용 및 오픈소스 기반 공개 배포 시 사용하는 소프트웨어에서 흔히 발견되는 보안 위협이다. Center for Internet Security Benchmarks는 Linux 및 Windows 운영 체제의 환경 설정 베스트 프랙티스를 반영한다. Security Best Practices는 for Internet Security Benchmarks 룰의 하위 규칙으로 SSH를 통한 루트 접근, 패스워드 보안 정책 부재, 시스템 디렉터리에 대한 불안전한 권한 부여 등과 관련된 규칙 등 Linux 인스턴스 사용과 관련된 간단한 규칙을 제공한다. Runtime Behavior Analysis는 Linux 관련 부적절한 파일 접근 권한 및 소유권 관리 등이 포함된다. Network Reachability는 VPC 내 리소스에 대한 보안상 부적절한 네트워크 환경설정에 대한 규칙이다. 보안 검증을 수행한 뒤 Amazon Inspector는 상태의 심각성에 따라 High, Medium, Low, Infomational 등의 4단계로 심각성을 나타내 주는데 High는 문제점을 즉시 해결해야 하는 수준으로 가장 위험한 상태이고 이후 순차적으로 심각성이 낮은 상태이다. Amazon Detective는 정보를 수집해 이를 그래프 데이터베이스에 저장한다. 보안 관리자는 그래프 모델을 이용해 AWS 자원과 관련한 의심스럽거나 흥미로운 행동을 판별하고 서로의 관련성을 파악할 수 있다. 이벤트 간의 관련성을 파악하고 하나의 이벤트가 특정 자원에 어떤 영향을 미치는지도 분석할 수 있다. Detective에서의 이와 같은 작업 방식은 CloudTrail logs를 이용해서 수작업으로 진행할 때보다 시간은 절약하면서 더 많은 인사이트를 도출할 수 있다.