0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 시행세칙 [별표 3]의 기술적 보안 부문 중 데이터베이스 보안 항목 2. 개요 S3 버킷에 저장되는 오브젝트의 가용성과 무결성을 보장하기 위해 버전 관리 및 암호화 설정 적용 필요 [참고] 해당 설정을 적용하지 않아 사고가 발생한 사례 "'야놀자 인수' 도도포인트 고객정보 유출… 최소 100만명 피해" 3. 취약점 판단 기준 S3 버킷에 버전 관리 및 암호화 설정이 적용되지 않은 경우 취약 S3 버킷에 버전 관리 및 암호화 설정이 적용되어 있는 경우 취약하지 않음 4. 취약점 확인 방법 - (1) 관리 콘솔에서 확인 관리 콘솔에서 [S3] 검색 → ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 NTP 동기화를 명시한 법령은 없으나, 전자금융감독규정 제13조 제4항을 비롯한 접근기록 및 모니터링 관련 조문의 준수를 위해 필요 2. 개요 EC2 인스턴스 생성 시 디폴트 시간대가 대한민국 표준 시간대로 설정되어 있지 않음 침해사고 분석 시 syslog의 시간 정확성 및 원활한 인스턴스 운영을 위해 인스턴스의 시간을 대한민국 표준 시간대로 설정 필요 3. 취약점 판단 기준 인스턴스의 시간대가 대한민국 표준 시로 설정되어 있지 않은 경우 취약 인스턴스의 시간대가 대한민국 표준 시로 설정되어 있는 경우 취약하지 않음 4. 취약점 확인 방법 인스턴스에 설정된 시간이 ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제13조 제1항 제1호 개인정보의 안전성 확보조치 기준 제5조 제1항 개인정보의 기술적·관리적 보호조치 기준 제4조 제1항 2. 개요 EC2 인스턴스 생성 시 AMI OS별로 디폴트 계정(ubuntu, ec2-user 등)이 자동으로 생성되고, 모든 디폴트 계정 정보는 AWS 공식 문서에서 안내하고 있음 따라서 공개된 계정 정보를 활용한 브루트포싱 공격을 예방하기 위해 디폴트 계정 삭제 필요 3. 취약점 판단 기준 인스턴스 디폴트 계정이 삭제되지 않고 존재하는 경우 취약 인스턴스 디폴트 계정이 삭제되어 존재하지 않을 경우 취약하지 않음 4. 취약점 ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제32조 제2호 다목 개인정보의 안전성 확보조치 기준 제5조 제5항 개인정보의 기술적·관리적 보호조치 기준 제4조 제7항, 제8항 2. 개요 EC2 인스턴스 생성 시 기본적으로 root 계정 패스워드가 설정되어 있지 않기 때문에, 원활한 인스턴스 운영과 보안을 위해 패스워드 설정 필요 3. 취약점 판단 기준 root 계정의 패스워드를 설정하지 않았을 경우 취약 root 계정의 패스워드를 설정했을 경우 취약하지 않음 4. 취약점 확인 방법 인스턴스 접속 후 shadow 파일 확인 sudo cat /etc/shadow root 계정의 두 번째 컬럼에서 ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제13조 제1항 제1호, 제2호 개인정보의 안전성 확보조치 기준 제5조 제4호 개인정보의 기술적·관리적 보호조치 기준 제4조 제1호 2. 개요 AWS는 브루트포싱 공격 및 패스워드 유출 등을 방지하기 위해 인스턴스 접속 시 Pem Key를 활용해 접속하는 것을 권고(인스턴스 생성 시 디폴트로 “PasswordAuthentication no” 설정) 따라서 담당자별로 인스턴스 계정을 생성하고, Pem Key를 이용해 인스턴스에 접속할 수 있도록 설정 필요 3. 취약점 판단 기준 인스턴스 접속 시 계정/패스워드로 인증을 수행하거나, 담당자별로 계정을 생..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제17조 제1항 제4호 개인정보의 기술적·관리적 보호조치 기준 제6조 제4항 개인정보의 안전성 확보조치 기준 제7조 제5항, 제7항 2. 개요 데이터 유•노출 시 데이터 보호를 위해 EBS 볼륨 암호화 적용 필요 3. 취약점 판단 기준 EBS 암호화 설정을 적용하지 않은 경우 취약 EBS 암호화 설정을 적용한 경우 취약하지 않음 4. 취약점 확인 방법 - (1) 관리 콘솔에서 확인 관리 콘솔에서 [EC2] 검색 → [볼륨] 메뉴 클릭 → [암호화] 컬럼 확인 4. 취약점 확인 방법 - (2) AWS CLI에서 확인 EC2 권한을 보유한 계정의 Acc..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제17조 제1항 제4호 개인정보의 기술적·관리적 보호조치 기준 제6조 제4항 개인정보의 안전성 확보조치 기준 제7조 제5항, 제7항 2. 개요 데이터 유•노출 시 데이터 보호를 위해 EBS 볼륨 암호화 디폴트 적용 필요 3. 취약점 판단 기준 EBS 암호화 디폴트 설정을 적용하지 않은 경우 취약 EBS 암호화 디폴트 설정을 적용한 경우 취약하지 않음 4. 취약점 확인 방법 - (1) 관리 콘솔에서 확인 관리 콘솔에서 [EC2] 검색 → [EBS 암호화] 클릭 EBS 암호화 디폴트 설정 여부 확인 4. 취약점 확인 방법 - (2) AWS CLI에서 확..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제15조 제2항 제2호, 제3호 2. 개요 주기적으로 NACL 및 SG 규칙을 검토하여 IPㆍ포트가 과도하게 허용되거나, 테스트 규칙이 삭제되지 않고 남아있는지 등을 검토하여 조치 필요 3. 취약점 판단 기준 NACL 및 SG 규칙을 주기적으로 검토하지 않거나, 검토를 수행하되 불필요한 규칙(미사용 규칙, 테스트 규칙 등) 또는 잘못 설정된 규칙을 삭제ㆍ수정하지 않을 경우 취약 NACL 및 SG 규칙을 주기적으로 검토하고, 불필요한 정책 또는 잘못 설정된 규칙을 삭제ㆍ수정하는 경우 취약하지 않음 4. 취약점 확인 방법 NACL 및 SG 규칙을 주기적..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제15조 제1항 제1호 전자금융감독규정 제15조 제2항 제2호, 제3호 개인정보의 안전성 확보조치 기준 제6조 제1항 개인정보의 기술적·관리적 보호조치 기준 제4조 제5항 2. 개요 AWS는 네트워크 트래픽 제어 수단으로 Network Access Control(NACL)과 Security Group(SG)을 제공하고 있음 NACL NACL은 subnet 수준에서 네트워크 트래픽을 제어하고 stateless 방식으로 동작 NACL은 allow와 deny 정책을 설정할 수 있음 NACL은 In/Outbound 당 20개의 규칙 생성 가능 SG SG는 ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제15조 제1항 제3호 개인정보의 기술적·관리적 보호조치 기준 제4조 제6항 2. 개요 인터넷 구간에서 내부망(프라이빗 서브넷)에 위치한 인스턴스로 직접 접근을 방지하기 위해, 퍼블릭 서브넷에 Bastion Host를 구축하고 이를 경유하여 내부망 인스턴스에 접속 필요 3. 취약점 판단 기준 내부망에 구성된 인스턴스에 접속 시 Bastion Host를 경유하지 않고 직접 접속하는 경우 취약 내부망에 구성된 인스턴스에 접속 시 Bastion Host를 경유하여 접속하는 경우 취약하지 않음 4. 취약점 확인 방법 EC2 서비스에서 [인스턴스] 클릭 Pr..
