0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 개인정보의 기술적·관리적 보호조치 기준 제6조 제4항 개인정보의 안전성 확보조치 기준 제7조 제5항, 제7항 2. 개요 데이터 유•노출 시 데이터 보호를 위해 RDS 스토리지 암호화 적용 필요 3. 취약점 판단 기준 RDS 스토리지를 암호화하지 않은 경우 취약 RDS 스토리지를 암호화 한 경우 취약하지 않음 4. 취약점 확인 방법 - (1) 관리 콘솔에서 확인 관리 콘솔에서 [RDS] 검색 → [데이터베이스] 메뉴 → 원하는 RDS 선택 → [구성] 탭 → RDS 인스턴스 암호화 설정 여부 확인 4. 취약점 확인 방법 - (2) AWS CLI에서 확인 RDS 권한을..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 개요 거래기록 등 중요 오브젝트의 변경 관리 및 영구 삭제를 방지하기 위해 MFA Delete 기능 활성화 필요 2. 취약점 판단 기준 MFA Delete 기능을 활성화 하지 않은 경우 취약 MFA Delete 기능을 활성화 한 경우 취약하지 않음 3. 취약점 확인 방법 - (1) 관리 콘솔에서 확인 관리 콘솔에서 [S3] 검색 → [버킷] 메뉴 → 버킷 선택 → [속성] 탭 → [버킷 버전 관리] 메뉴에서 MFA Delete 활성화 여부 확인 3. 취약점 확인 방법 - (2) AWS CLI에서 확인 S3 권한을 보유한 계정의 Access key를 활용해 AWS CLI에서 C..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 개요 담당자별로 접근 가능한 S3 저장 공간을 할당하고, Access Key 등 중요 정보를 이곳에 저장ㆍ관리 필요 2. 취약점 판단 기준 Access Key 등 중요 정보를 S3가 아닌 개인 PC에 저장해 관리하는 경우 취약 Access Key 등 중요 정보를 담당자별 S3에 저장하여 관리하는 경우 취약하지 않음 3. 취약점 확인 방법 관리 콘솔에서 [S3] 검색 → [버킷] 메뉴 클릭 버킷 목록에서 담당자별 디렉터리 생성 여부 확인 4. 취약점 조치 방법 [상황] Kim 과 Hong 두 개의 IAM 계정이 존재하는 상황에서 각각 S3 디렉터리를 할당하고자 하는 상황 관리 ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 개요 버킷에 저장된 오브젝트에 대한 접근통제를 위해 권한을 보유한 IAM 유저만 접근할 수 있도록 퍼블릭 액세스 차단 필요 2. 취약점 판단 기준 [알림] 서비스 구성에 따라 버킷을 퍼블릭하게 공개해야 하는 경우 예외 S3 버킷에 퍼블릭하게 접근이 가능한 경우 취약 S3 버킷에 퍼블릭 액세스 차단 적용 또는 버킷 정책을 활용해 접근제어를 수행하는 경우 취약하지 않음 3. 취약점 확인 방법 - (1) 관리 콘솔에서 확인 관리 콘솔에서 [S3] 검색 → [버킷] 메뉴 → [액세스] 컬럼에서 “퍼블릭” 또는 “객체를 퍼블릭으로 설정할 수 있음” 여부 확인 3. 취약점 확인 방법 -..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 시행세칙 [별표 3]의 기술적 보안 부문 중 데이터베이스 보안 항목 2. 개요 S3 버킷을 퍼블릭에 공개해 유저가 접근할 수 있도록 하는 경우 CloudFront OAI를 설정해 버킷 직접 접근 차단 필요 3. 취약점 판단 기준 S3 버킷에 정적 웹 사이트 호스팅 기능 설정 시 CloudFront OAI를 적용하지 않은 경우 취약 S3 버킷에 정적 웹 사이트 호스팅 기능 설정 시 CloudFront OAI를 적용한 경우 취약하지 않음 4. 취약점 확인 방법 S3 버킷 중 [정적 웹 사이트 호스팅] 기능을 설정한 버킷의 존재 여부 확인 기능을 설정한 ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 시행세칙 [별표 3]의 기술적 보안 부문 중 데이터베이스 보안 항목 2. 개요 S3 버킷에 저장되는 오브젝트의 가용성과 무결성을 보장하기 위해 버전 관리 및 암호화 설정 적용 필요 [참고] 해당 설정을 적용하지 않아 사고가 발생한 사례 "'야놀자 인수' 도도포인트 고객정보 유출… 최소 100만명 피해" 3. 취약점 판단 기준 S3 버킷에 버전 관리 및 암호화 설정이 적용되지 않은 경우 취약 S3 버킷에 버전 관리 및 암호화 설정이 적용되어 있는 경우 취약하지 않음 4. 취약점 확인 방법 - (1) 관리 콘솔에서 확인 관리 콘솔에서 [S3] 검색 → ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 NTP 동기화를 명시한 법령은 없으나, 전자금융감독규정 제13조 제4항을 비롯한 접근기록 및 모니터링 관련 조문의 준수를 위해 필요 2. 개요 EC2 인스턴스 생성 시 디폴트 시간대가 대한민국 표준 시간대로 설정되어 있지 않음 침해사고 분석 시 syslog의 시간 정확성 및 원활한 인스턴스 운영을 위해 인스턴스의 시간을 대한민국 표준 시간대로 설정 필요 3. 취약점 판단 기준 인스턴스의 시간대가 대한민국 표준 시로 설정되어 있지 않은 경우 취약 인스턴스의 시간대가 대한민국 표준 시로 설정되어 있는 경우 취약하지 않음 4. 취약점 확인 방법 인스턴스에 설정된 시간이 ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제13조 제1항 제1호 개인정보의 안전성 확보조치 기준 제5조 제1항 개인정보의 기술적·관리적 보호조치 기준 제4조 제1항 2. 개요 EC2 인스턴스 생성 시 AMI OS별로 디폴트 계정(ubuntu, ec2-user 등)이 자동으로 생성되고, 모든 디폴트 계정 정보는 AWS 공식 문서에서 안내하고 있음 따라서 공개된 계정 정보를 활용한 브루트포싱 공격을 예방하기 위해 디폴트 계정 삭제 필요 3. 취약점 판단 기준 인스턴스 디폴트 계정이 삭제되지 않고 존재하는 경우 취약 인스턴스 디폴트 계정이 삭제되어 존재하지 않을 경우 취약하지 않음 4. 취약점 ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제32조 제2호 다목 개인정보의 안전성 확보조치 기준 제5조 제5항 개인정보의 기술적·관리적 보호조치 기준 제4조 제7항, 제8항 2. 개요 EC2 인스턴스 생성 시 기본적으로 root 계정 패스워드가 설정되어 있지 않기 때문에, 원활한 인스턴스 운영과 보안을 위해 패스워드 설정 필요 3. 취약점 판단 기준 root 계정의 패스워드를 설정하지 않았을 경우 취약 root 계정의 패스워드를 설정했을 경우 취약하지 않음 4. 취약점 확인 방법 인스턴스 접속 후 shadow 파일 확인 sudo cat /etc/shadow root 계정의 두 번째 컬럼에서 ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제13조 제1항 제1호, 제2호 개인정보의 안전성 확보조치 기준 제5조 제4호 개인정보의 기술적·관리적 보호조치 기준 제4조 제1호 2. 개요 AWS는 브루트포싱 공격 및 패스워드 유출 등을 방지하기 위해 인스턴스 접속 시 Pem Key를 활용해 접속하는 것을 권고(인스턴스 생성 시 디폴트로 “PasswordAuthentication no” 설정) 따라서 담당자별로 인스턴스 계정을 생성하고, Pem Key를 이용해 인스턴스에 접속할 수 있도록 설정 필요 3. 취약점 판단 기준 인스턴스 접속 시 계정/패스워드로 인증을 수행하거나, 담당자별로 계정을 생..
