클라우드 보안 가이드 - 권한 관리 [2-3] -
2.3 기타 서비스 정책 관리
분류 : 권한 관리
중요도 : 상
항목명 : 기타 서비스 정책 관리
AWS 기타 서비스(CloudWatch, CloudTrail, KMS 등)의 리소스 생성 또는 액세스 권한은 권한 정책에 따라 결정된다. 계정 관리자는 IAM 자격 증명(즉, 사용자, 그룹, 역할)에 권한 정책을 연결할 수 있으며 적절한 권한을 통한 서비스 관리가 이루어져야 한다.
1) 기타 서비스 구분
| 서비스 구분 | 서비스 상세 |
| Oraganizations | AWS Organizations는 사용자가 생성해 중앙에서 관리하는 조직으로 여러 AWS 계정을 통합할 수 있는 계정 관리 서비스 |
| CloudWatch | Amazon Web Services(AWS) 리소스와 AWS에서 실시간으로 실행 중인 애플리케이션을 모니터링하는 서비스 |
| Auto Scailing | AWS Auto Scailing 콘솔은 단일 사용자 인터페이스가 여러 AWS 서비스의 자동 조정 기능 사용하는 서비스 |
| CloudFormation | Amazon Web Services 리소스를 모델링하고 설정하여 리소스 관리 시간을 줄이고 AWS에서 실행되는 애플리케이션에 더 많은 시간을 사용하도록 해 주는 서비스 |
| CloudTrail | 계정의 거버넌스, 규정 준수, 운영 및 위험 감사를 활성화하도록 도와주는 서비스 |
| Config | AWS 계정에 있는 AWS 리소스의 구성을 자세히 보여 준다. 이러한 보기에는 리소스 간에 어떤 관계가 있는지와 리소스가 과거에 어떻게 구성되었는지도 포함되므로, 시간이 지나면서 구성과 관계가 어떻게 변하는지 확인할 수 있는 서비스 |
| Systems Manager | System Manager 콘솔을 사용하여, 여러 AWS 서비스의 운영 데이터를 볼 수 있고 AWS 리소스 전체에 걸쳐 운영 작업을 자동화할 수 있는 서비스 |
| GuardDuty | VPC 흐름 로그, AWS CloudTrail 이벤트 로그, DNS 로그 같은 데이터 원본을 분석하고 처리하는 지속적 보안 모니터링 서비스 |
| Inspector | Amazon EC2 instances의 네트워크 액세스 가능성 및 해당 인스턴스에서 실행되는 애플리케이션의 보안 상태를 확인할 수 있는 서비스 |
| Single Sign-On | 모든 AWS 계정 및 클라우드 애플리케이션에 대한 SSO 액세스를 중앙에서 쉽게 관리 할 수 있는 클라우드 기반 싱글 사인온 (SSO) 서비스 |
| Certificate Manager | AWS 기반 웹 사이트 및 애플리케이션에 대한 공인 SSL/TLS 인증서를 생성 및 관리하는 서비스 |
| KMS | 데이터 암호화에 사용하는 암호화 키를 쉽게 생성하고 제어할 수 있게 해주는 관리형 서비스 |
| WAF | Amazon CloudFront 배포, Amazon API Gateway API 또는 Application Load Balancer에 전달되는 HTTP(S) 요청을 모니터링할 수 있게 해주는 웹 애플리케이션 방화벽 서비스 |
| Shield | Amazon Elastic Compute Cloud 인스턴스, Elastic Load Balancing 로드 밸런서, Amazon CloudFront 배포 및 Amazon Route 53 호스팅 영역 및 AWS Global Accelerator에 확장 DDoS 공격 보호를 제공하는 서비스 |
| Security Hub | AWS 계정, 서비스 및 지원되는 타사 파트너 제품 전반에 걸쳐 보안 데이터를 수집하고, 보안 동향을 분석하고 우선 순위가 가장 높은 보안 문제를 식별할 수 있는 서비스 |
| Data Pipeline | 데이터의 이동과 변환을 자동화하는 데 사용할 수 있는 웹 서비스 |
| Glue | 완전 관리형 ETL(추출, 변환, 로드) 서비스로, 효율적인 비용으로 간단하게 여러 데이터 스토어 간에 원하는 데이터를 분류, 정리, 보강, 이동할 수 있는 서비스 |
| MSK | Amazon Managed Streaming for Apache Kafka(Amazon MSK)는 Apache Kafka를 사용해 스트리밍 데이터를 처리하는 애플리케이션을 빌드하고 실행할 수 있는 완전관리형 서비스 |
| Backup | 클라우드 및 온프레미스에서 AWS 서비스 전반에 걸쳐 데이터 백업을 중앙 집중화하고 자동화할 수 있는 완전 관리형 백업 서비스 |
2) 기타 서비스 별 관리형 정책 (예시)
작성 예정
3) IAM 관리형 정책 권한 관리 List (예시)
작성 예정
설정 방법
가. 기타 서비스 IAM 관리자/운영자 권한 그룹 생성 및 사용자 추가
- S3 서비스의 운영/관리를 위한 IAM 그룹 생성 및 사용자 추가
* 기타 서비스 운영/관리에 필요한 IAMFullAccess 등의 권한과 같이 중요도가 높은 권한은 Infra 운영/관리자 및 담당자에게만 정책이 되도록 해야하며 최소한의 계정 수가 유지되어야 한다.
1) IAM 내 사용자 그룹 탭 접근 후 그룹 생성 클릭
2) 그룹 이름 설정
3) 정책 연결 (AWSCloudTrail_FullAccess 선택) 및 그룹 생성
4) 그룹 생성 확인
나. 기타 서비스 IAM 관리자/운영자 권한 그룹 생성 및 사용자 추가
- S3 서비스의 운영/관리를 위한 IAM 그룹 생성 및 사용자 추가
* 기타 서비스 운영/관리에 필요한 IAMFullAccess 등의 권한과 같이 중요도가 높은 권한은 Infra 운영/관리자 및 담당자에게만 정책이 되도록 해야하며 최소한의 계정 수가 유지되어야 한다.
1) IAM 내 사용자 탭 접근 후 사용자 추가 클릭
2) 사용자 이름 설정 및 다음 클릭
3) 그룹에 사용자 추가 설정
4) 검토 및 사용자 만들기 클릭
5) 사용자 추가 확인
6) IAM "사용자" 클릭 및 계정 목록 확인
7) IAM "그룹" 클릭 및 그룹 목록 확인
8) 그룹 내 추가된 사용자 확인
진단 기준 :
양호 기준 : 기타 서비스 IAM 사용 권한이 각각 서비스 역할에 맞게 설정되어 있을 경우
취약 기준 : 기타 서비스 IAM 사용 권한이 각각 서비스 역할에 맞게 설정되어 있지 않을 경우