반응형
0. 들어가며
해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다.
1. 관련 법령
- 개인정보의 기술적·관리적 보호조치 기준 제4조 제4항
- 개인정보의 안전성 확보조치 기준 제6조 제 2항
- ※ 개인정보처리시스템의 범위는 WEB, WAS, DB이나, 관리 콘솔은 개인정보처리시스템에 접속을 가능케 하는 관문으로서 기능하기에 해당 조문을 맵핑
2. 개요
- 클라우드 서비스의 특성상 인터넷이 가능한 모든 환경에서 관리 콘솔에 접속해 리소스 핸들링이 가능
- 관리 콘솔 접근통제를 위해 로그인 시 2차 인증(MFA) 적용 필요
- [참고] 해당 설정을 적용하지 않아 사고가 발생한 사례
3. 취약점 판단 기준
- root 및 IAM 계정으로 관리 콘솔 로그인 시 MFA를 적용하지 않은 경우 취약
- root 및 IAM 계정으로 관리 콘솔 로그인 시 MFA를 적용한 경우 취약하지 않음
4. 취약점 확인 방법 - (1) 개별 계정에서 확인
- root 또는 IAM 계정으로 관리 콘솔 로그인 후 오른쪽 상단의 계정명 클릭
- [보안 자격 증명] 클릭
- [멀티 팩터 인증(MFA)] 항목에서 MFA 할당 여부 확인
4. 취약점 확인 방법 - (2) IAM 서비스에서 확인
- root 또는 IAM 서비스 권한을 보유한 IAM 계정으로 로그인
- 서비스에서 [IAM] 검색→ 왼쪽 메뉴에서 [사용자] 클릭
4. 취약점 확인 방법 - (3) AWS CLI에서 확인
- IAM 권한을 보유한 계정의 Access key를 활용해 AWS CLI에서 Command 실행
aws iam generate-credential-report
aws iam get-credential-report --query 'Content' --output text | base64 -d | cut -d, -f1,4,8- mfa_active 컬럼의 true 값 설정 여부 확인
5. 취약점 조치 방법 - (1) 개별 계정에서 조치
- root 또는 IAM 계정으로 관리 콘솔 로그인 후 오른쪽 상단의 계정명 클릭
- [보안 자격 증명] 클릭
- [멀티 팩터 인증(MFA)] 항목에서 [MFA 디바이스 할당] 클릭
5. 취약점 조치 방법 - (2) IAM 서비스에서 조치
- root 또는 IAM 서비스 권한을 보유한 IAM 계정으로 로그인
- 서비스에서 [IAM] 검색→ 왼쪽 메뉴에서 [사용자] 클릭
- MFA를 할당하고자 하는 계정명 클릭
- [보안 자격 증명] 탭에서 [할당된 MFA 디바이스] 항목의 관리 클릭
6. 참고
- CIS AWS Benchmark v1.4.0
반응형
'AWS' 카테고리의 다른 글
| AWS root 계정의 billing 권한을 IAM 계정에 부여 (0) | 2023.03.15 |
|---|---|
| AWS 관리 콘솔 로그인 성공 시 알람 발송 (0) | 2023.03.15 |
| AWS 인스턴스 세부 정보에서 “Session Manager” 기능 비활성화 (0) | 2023.03.15 |
| AWS 인스턴스 세부 정보에서 “EC2 인스턴스 연결” 기능 비활성화 (0) | 2023.03.14 |
| AWS 관리 콘솔 접근 시 접근 가능한 소스IP 제어 (0) | 2023.03.14 |
