DevSecOps/클라우드 보안 가이드 [sk쉴더스 ISMS]

1.1 사용자 계정 관리분류 : 계정 관리중요도 : 상항목명 : 사용자 계정 관리 항목 설명 :모든 AWS 리소스는 AWS 계정의 소유이고, 리소스 생성 또는 액세스 권한은 권한 정책에 따라 결정됩니다. 계정 관리자는 IAM 자격 증명 (즉, 사용자, 그룹, 역할)에 권한 정책을 연결할 수 있으며 적절한 권한을 통한 서비스 관리가 이루어져야 한다. AWS 관리형 정책 : 서비스 내 FULL ACCESS 등과 같이 중요도가 높은 AWS 관리형 정책은 EC2 서비스 관리/운영자 및 관련 담당자 외에 다른 IAM 계정에 아래와 같은 권한 할당이 되지 않도록 해야한다. 그중에서도 AWS Admin Console 관리자(AdministratorAccess) 권한은 다수의 IAM 계정에 설정되지 않도록 관리 조치가..

1.8 Admin Console 계정 Access Key 활성화 및 사용주기 관리분류 : 계정 관리중요도 : 상항목명 : Admin Console 계정 Access Key 활성화 및 사용주기 관리 항목 설명 : Access Key는 AWS의 CLI 도구나 API를 사용할 때 필요한 인증수단으로 생성 사용자에 대한 결제정보를 포함한 모든 AWS 서비스의 전체 리소스에 대한 권한을 갖고 있으므로 유출 시 심각한 피해가 발생할 가능성이 높기에 AWS Admin Console Account에 대한 Access Key 삭제를 권장한다. *Access Key 관리 주기 : Key 수명(60일 이내), 비밀번호 수명(60일 이내), 마지막 활동(30일 이내) 설정 방법 : 가. AWS Admin Console Acc..

1.6 Key Pair 보관 관리 분류 : 계정 관리중요도 : 상항목명 : Key Pair 보관 관리 항목 설명 : EC2는 키(Key)를 이용한 암호화 기법을 제공한다. 해당 기법은 퍼블릭/프라이빗 키를 통해 각각 데이터의 암호화 및 해독을 하는 방식으로 여기에 사용되는 키를 'Key Pair'라고 하며, 해당 암호화 기법을 사용할 시 EC2의 보안성을 향상시킬 수 있으므로 EC2 인스턴스 생성 시 Key Pair 등록을 권장한다. 또한, Amazon EC2에 사용되는 키는 '2048비트 SSH-2 RSA 키'이며, Key..

1.5 Key Pair 접근 관리 분류 : 계정 관리중요도 : 상항목명 : Key Pair 접근 관리 항목 설명 : EC2는 키(Key)를 이용한 암호화 기법을 제공한다. 해당 기법은 퍼블릭/프라이빗 키를 통해 각각 데이터의 암호화 및 해독을 하는 방식으로 여기에 사용되는 키를 'Key Pair' 라고 하며, 해당 암호화 기법을 사용할 시 EC2의 보안성을 향상시킬 수 있으므로 EC2 인스턴스 생성 시 Key Pair 등록을 권장한다. 또한, Amazon EC2에 사용되는 키는 '2048비트 SSH-2 RSA 키'이며, Key Pair는 리전당 최대 5천 개(계정 당)까지 보유할 수 있다. 설정 방법 : 가. 키 생성 및 등록 방법 1) 콘솔을 통한 키 생성 : 네트워크 및 보안 -> Key Pa..

1.2 IAM 사용자 계정 단일화 관리분류 : 계정 관리중요도 : 상항목명 : IAM 사용자 계정 단일화 관리 항목 설명 : 모든 AWS 리소스는 AWS 계정의 소유이고, 리소스 생성 또는 액세스 권한은 권한 정책에 따라 결정된다. 계정 관리자는 IAM 자격 증명(즉, 사용자, 그룹, 역할)에 권한 정책을 연결할 수 있으며 적절한 권한을 통한 서비스 관리가 이루어져야 한다. 1) 절절한 IAM 계정 사용- AWS IAM 계정 생성 시 1인 1계정 발급을 원칙으로 하며, 1명의 담당자가 다수의 IAM 계정을 보유하는 것을 지양해야 한다. Cloud 서비스 리소스 사용이 필요할 경우 내부 정책을 기준으로 목적에 맞게 권한이 부여되어야 한다.*Cloud 서비스 별 IAM 계정 생성 및 관리 금지 설정 방법 :..

4.3 S3 암호화 설정분류 : 운영 관리중요도 : 중항목명 : S3 암호화 설정 항목 설명 : 버킷 기본 암호화 설정은 S3 버킷에 저장되는 모든 객체를 암호화 되도록 하는 설정이며 Amazon S3 관리형 키 (SSE-S3) 또는 AWS KMS 관리형 키(SSE-KMS)로 서버 측 암호화를 사용하여 객체를 암호화한다. * S3 버킷 신규 생성 기 ㅣ본 암호화 (SSE-S3, SSE-KMS)를 설정할 수 있으며, 버킷에 기본 암호화가 적용된 상태에서 객체가 저장될 경우 하위 객체까지 자동으로 암호화 설정이 가능한다. 설정 방법 : 가. S3 버킷 기본 암호호 설정 확인 1) S3 버킷 선택 2) S3 버킷 속성 확인 진단 기준 :양호 기준 : Amazon S3 키(SSE-S3)로 서버 측..

4.2 RDS 암호화 설정분류 : 운영 관리중요도 : 중항목명 : RDS 암호화 설정 항목 설명 : RDS는 데이터 보호를 위해 DB 인스턴스에서 암호화 옵션 기능을 제공하며 암호화 시 AES-256 암호화 알고리즘을 이용하여 DB 인스턴스의 모든 로그, 백업 및 스냅샷 암호화가 가능하다. 설정 방법 : 가. RDS 데이터베이스 암호화 설정 확인 1) 데이터베이스 클릭 2) DB 생성 방식 및 엔진 등 설정 3) 데이터베이스 암호화 설정 4) 데이터베이스 생성 확인 5) 데이터베이스 암호화 확인 진단 기준 : 양호 기준 : RDS 데이터베이스 암호화가 활성화되어 있을 경우취약 기준 : RDS 데이터베이스 암호화가 비활성화되어 있을 경우

4.1 EBS 및 볼륨 암호화 설정분류 : 운영 관리중요도 : 중항목명 : EBS 및 볼륨 암호화 설정 항목 설명 : EBS는 EC2 인스턴스 생성 및 이용 시 사용되는 블록 형태의 스토리지 볼륨이며 파일시스템 생성 및 블록 디바이스 사용 등을 할 수 있다. 또한 EBS는 AES-256 알고리즘을 사용하여 볼륨 암호화를 지원하며 데이터 및 애플리케이션에 대한 다양한 정보를 안전하게 저장할 수 있게 해준다. 설정 방법 : 가. EC2 스토리지 암호화 설정 방법 1) 인스턴스 시작 클릭 2) AMI 선택 3) 인스턴스 유형 선택 4) 인스턴스 구성 5) 스토리지 추가 6) 태그 추가 7) 보안 그룹 구성 8) 스토리지 암호화 여부 확인 9) EC2 인스턴..

3.2 보안 그룹 인/아웃바운드 불필요 정책 관리분류 : 가상 리소스 관리중요도 : 상항목명 : 보안 그룹 인/아웃바운드 불필요 정책 관리 항목 설명 : VPC에서의 보안 그룹은 EC2 인스턴스에 대한 인/아웃바운드 트래픽을 제어하는 가상 방화벽 역할을 한다. VPC에서 EC2 인스턴스를 시작할 때 최대 5개의 보안 그룹에 인스턴스를 할당할 수 있다. 보안 그룹은 서브넷 수준이 아니라 인스턴스 수준에서 작동하므로 VPC에 있는 서브넷의 각 인스턴스를 서로 다른 보안 그룹 세트에 할당할 수 있다. 보안 그룹은 인/아웃바운드의 규칙 편집을 통해 특정 소스(출발지)에서의 통신이 가능하도록 유형(네트워크 프로토콜) 및 단일/범위 포트를 설정할 수 있다. 설정 방법 : 가. 보안 그룹 인/아웃바운드 소스 정..

3.1 보안 그룹 인/아웃바운드 ANY 설정 관리분류 : 가상 리소스 관리중요도 : 상항목명 : 보안 그룹 인/아웃바운드 ANY 설정 관리 항목 설명 : VPC에서의 보안 그룹은 EC2 인스턴스에 대한 인/아웃바운드 트래픽을 제어하는 가상 방화벽 역할을 한다. VPC에서 EC2 인스턴스를 시작할 때 최대 5개의 보안 그룹에 인스턴스를 할당할 수 있다. 보안 그룹은 서브넷 수준이 아니라 인스턴스 수준에서 작동하므로 VPC에 있는 서브넷의 각 인스턴스를 서로 다른 보안 그룹 세트에 할당할 수 있다. 보안 그룹은 인/아웃바운드의 규칙 편집을 통해 특정 소스(출발지)에서의 통신이 가능하도록 유형(네트워크 프로토콜) 및 단일/범위 포트를 설정할 수 있다. 설정 방법 : 가. 보안 그룹 인/아웃바운드 포트 정..

2.3 기타 서비스 정책 관리분류 : 권한 관리중요도 : 상항목명 : 기타 서비스 정책 관리 AWS 기타 서비스(CloudWatch, CloudTrail, KMS 등)의 리소스 생성 또는 액세스 권한은 권한 정책에 따라 결정된다. 계정 관리자는 IAM 자격 증명(즉, 사용자, 그룹, 역할)에 권한 정책을 연결할 수 있으며 적절한 권한을 통한 서비스 관리가 이루어져야 한다. 1) 기타 서비스 구분서비스 구분서비스 상세Oraganizations AWS Organizations는 사용자가 생성해 중앙에서 관리하는 조직으로 여러 AWS 계정을 통합할 수 있는 계정 관리 서비스 CloudWatchAmazon Web Services(AWS) 리소스와 AWS에서 실시간으로 실행 중인 애플리케이션을 모니터링하..

2.2 네트워크 서비스 정책 관리분류 : 권한 관리중요도 : 상항목명 : 네트워크 서비스 정책 관리 AWS 네트워크 서비스(VPC, Route 53, Direct Connect 등)의 리소스 생성 또는 액세스 권한은 권한 정책에 따라 결정된다. 계정 관리자는 IAM 자격 증명(즉, 사용자, 그룹, 역할)에 권한 정책을 연결할 수 있으며 적절한 권한을 통한 서비스 관리가 이루어져야 한다. 1) 네트워크 서비스 구분서비스 구분서비스 상세VPC사용자가 정의한 가상 네트워크로 AWS 리소스를 시작할 수 있다. 이 가상 네트워크는 AWS의 확장 가능한 인프라를 사용한다는 이점과 함께 고객의 자체 데이터 센터에서 운영하는 기존 네트워크와 매우 유사하다.CloudFront.html, .css, .js 및 이..