0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 개요 인프라가 AWS 모범 사례에 따라 구성됐는지 5개 측면(Cost Optimization, Performance, Security, Fault Tolerance, Service Limits)에서 검사하는 Trusted Advisor 서비스를 설정하여 실시간 검사 필요 [주의] Trusted Advisor 서비스는 스탠다드에 따라 요금이 상이하므로, 사용 전 면밀히 검토 필요 비용 산정 기준 2. 취약점 판단 기준 Trusted Advisor 서비스를 설정하지 않은 경우 취약 Trusted Advisor 서비스를 설정한 경우 취약하지 않음 3. 취약점 확인 방법 관리 콘솔에..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 개요 EC2 인스턴스 및 ECR 이미지를 스캔하고 발견된 취약점을 리포팅하는 Inpector를 활용하여 정기적으로 취약점 점검 수행 필요 [주의] Inspector 서비스는 스캔되는 대상의 개수에 따라 요금이 발생하므로, 사용 전 스캔 대상과 범위에 대해 면밀히 검토 필요 비용 산정 기준 2. 취약점 판단 기준 정기적으로 Inspector를 활용해 취약점 점검을 수행하지 않는 경우 취약 정기적으로 Inspector를 활용해 취약점 점검을 수행하는 경우 취약하지 않음 3. 취약점 확인 방법 관리 콘솔에서 [Inspector] 검색 [Dashboard] 및 [Findings] 메..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 개요 버킷에 저장된 개인(신용)정보를 탐지하는 Macie 서비스를 활용해 중요 데이터 저장 관리 및 모니터링 필요 [주의] Amazon Macie 서비스는 스캔되는 버킷의 개수와 데이터 용량에 따라 요금이 발생하므로, 사용 전 스캔 대상 및 범위에 대해 면밀히 검토 필요 비용 산정 기준 2. 취약점 판단 기준 주기적으로 Amazon Macie를 활용해 버킷에 저장된 개인(신용)정보를 탐지하지 않는 경우 취약 주기적으로 Amazon Macie를 활용해 버킷에 저장된 개인(신용)정보를 탐지하고 조치하는 경우 취약하지 않음 3. 취약점 확인 방법 관리 콘솔에서 [Macie] 검색 ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 개요 Config는 AWS 리소스에 대해 담당자가 정의한 기준(ex. EBS 암호화)을 충족하는지 지속적으로 모니터링하고 이를 벗어난 경우 알람해주는 서비스 내부 보안 정책에 따라 AWS 리소스의 보안 기준을 설정하고, Config를 활용하여 보안 기준 준수 여부 관리 필요 [주의] Config 설정 시 리소스 변경마다 Config가 실행되어 요금이 발생하므로 설정 전 면밀히 검토 필요 비용 산정 기준 2. 취약점 판단 기준 Config 규칙을 설정하지 않은 경우 취약 Config 규칙을 설정한 경우 취약하지 않음 3. 취약점 확인 방법 관리 콘솔에서 [Config] 검색 →..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 개요 CloudTrail 추적을 통해 생성된 로그의 무결성을 검증하기 위해 로그 파일 검증 기능 활성화 필요 2. 취약점 판단 기준 CloudTrail 추적 로그 파일 검증을 비활성화 한 경우 취약 CloudTrail 추적 로그 파일 검증을 활성화 한 경우 취약하지 않음 3. 취약점 확인 방법 - (1) 관리 콘솔에서 확인 관리 콘솔에서 [CloudTrail] 검색 → [추적] 메뉴 → 원하는 추적 클릭 → [로그 파일 검증] 활성화 여부 확인 3. 취약점 확인 방법 - (2) AWS CLI에서 확인 CloudTrail 권한을 보유한 계정의 Access key를 활용해 AWS..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 시행세칙 [별표 3]의 기술적 보안 부문 중 정보보호시스템 보안 항목 2. 개요 VPC 네트워크 트랜잭션의 이상 행위 및 장애 대응을 위해 VPC Flow Log 실시간 모니터링 또는 주기적 검토 필요 3. 취약점 판단 기준 VPC Flow Log에 대해 실시간 모니터링 또는 주기적으로 검토하지 않는 경우 취약 VPC Flow Log에 대해 실시간 모니터링 또는 주기적으로 검토하는 경우 취약하지 않음 4. 취약점 확인 방법 담당자 인터뷰 및 관련 증적을 통해 VPC Flow Log에 대한 실시간 모니터링 또는 주기적 검토를 수행하였는지 확인 5. 취..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 시행세칙 [별표 3]의 기술적 보안 부문 중 정보보호시스템 보안 항목 2. 개요 VPCㆍ서브넷ㆍENI의 네트워크 트랜잭션을 로깅하는 VPC Flow Log는 디폴트로 비활성화되어 있어, 이상 행위 및 장애 대응을 위해 필요 시 설정 필요 [주의] VPC Flow Log를 S3, CloudWatch Logs에 전송할 때 요금이 발생하므로 설정 전 면밀히 검토 필요 비용 산정 기준 3. 취약점 판단 기준 [알림] 네트워크 장애 대응 등 필요 시에만 활성화하여 사용 가능 VPC Flow Log를 설정하지 않은 경우 취약 VPC Flow Log를 설정한 경..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 개인정보의 기술적·관리적 보호조치 기준 제5조 제1항 개인정보의 안전성 확보조치 기준 제8조 제2항 2. 개요 AWS의 모든 리소스를 핸들링 할 수 있는 관리 콘솔에 대한 로그인 이력을 주기적으로 검토하여 이상 접속 여부 관리 필요 3. 취약점 판단 기준 관리 콘솔 로그인 이력을 주기적으로 검토하지 않는 경우 취약 관리 콘솔 로그인 이력을 주기적으로 검토하는 경우 취약하지 않음 4. 취약점 확인 방법 담당자 인터뷰 및 관련 증적을 통해 주기적으로 관리 콘솔 로그인 이력을 검토하였는지 확인 5. 취약점 조치 방법 [알림] 다양한 방법이 있을 수 있으나 본 항목에서는 ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제13조 제1항 제11호 개인정보의 기술적·관리적 보호조치 기준 제5조 제1항 개인정보의 안전성 확보조치 기준 제8조 제1항 2. 개요 S3 버킷을 퍼블릭에 공개해 유저가 접근할 수 있도록 하는 경우 오브젝트에 대한 액세스 로그 생성 및 보관 필요 오브젝트 액세스 로그를 생성하기 위한 방법으로 CloudTrail과 S3를 활용할 수 있는데 AWS 도큐먼트는 CloudTrail을 활용한 방법을 권장 [주의] CloudTrail을 활용해 S3 오브젝트 액세스 로그를 생성하는 경우 요금이 발생하므로 설정 전 면밀히 검토 필요 비용 산정 기준 3. 취약점 ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제13조 제1항 제11호 개인정보의 기술적·관리적 보호조치 기준 제5조 제1항 개인정보의 안전성 확보조치 기준 제8조 제1항 2. 개요 S3 버킷을 퍼블릭에 공개해 유저가 접근할 수 있도록 하는 경우 오브젝트에 대한 액세스 로그 생성 및 보관 필요 오브젝트 액세스 로그를 생성하기 위한 방법으로 CloudTrail과 S3를 활용할 수 있는데 AWS 도큐먼트는 CloudTrail을 활용한 방법을 권장 [주의] CloudTrail을 활용해 S3 오브젝트 액세스 로그를 생성하는 경우 요금이 발생하므로 설정 전 면밀히 검토 필요 비용 산정 기준 3. 취약점 ..
