0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제15조 제1항 제3호, 제5호 전자금융감독규정 제17조 제1항 제1호 개인정보의 기술적·관리적 보호조치 기준 제4조 제6항 2. 개요 VPC를 퍼블릭ㆍ프라이빗 서브넷으로 분리 구성하여, 애플리케이션ㆍDB 인스턴스의 인터넷 노출 최소화 필요 3. 취약점 판단 기준 VPC 내에서 서브넷과 라우팅 테이블을 분리 구성하지 않고 단일 서브넷으로 구성한 경우 취약 VPC 내에서 서브넷과 라우팅 테이블을 분리 구성한 경우 취약하지 않음 4. 취약점 확인 방법 VPC 서비스에서 [라우팅 테이블] 클릭 점검 대상 VPC에 연결된 라우팅 테이블 구성 현황 파악 각 ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 시행세칙 [별표 3]의 관리적 보안 부문 중 자산관리 항목 2. 개요 리소스에 태그를 지정해 비용을 모니터링 하거나, Lambda와 연계하여 다양한 액션을 수행할 수 있으므로 가능한 모든 리소스에 대해 태그 지정 필요 3. 취약점 판단 기준 태깅에 관한 내부 규정이 미비하거나, 태그를 지정하지 않은 리소스가 과도하게 많은 경우 취약 태깅에 관한 내부 규정을 수립하고, 이에 따라 대부분의 리소스에 태그를 지정한 경우 취약하지 않음 4. 취약점 확인 방법 관리 콘솔에서 [Resource Groups] 검색 → [Tag Editor] 메뉴 → [태그를 지..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 개요 임시로 사용할 IAM 계정에 권한을 부여ㆍ변경ㆍ회수하는 과정에서 워크로드가 발생하고, 이로 인해 임시 계정에 과도한 권한이 부여되거나, 사용이 끝나도 삭제되지 않는 등 문제점이 발생 이러한 문제를 해결하기 위해 STS 이용 필요 STS로 부여받은 권한은 1시간 동안 유효 2. 취약점 판단 기준 STS를 활용하지 않고 IAM 계정 또는 그룹에 직접 권한을 부여하여 AWS 리소스를 핸들링 하는 경우 취약 STS를 활용해 임시 권한을 부여하여 AWS 리소스를 핸들링 하는 경우 취약하지 않음 3. 취약점 확인 방법 담당자 인터뷰 및 관련 증적을 통해 STS 활용 여부 확인 4...
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제13조 제1항 제4호, 제14호 개인정보의 기술적·관리적 보호조치 기준 제4조 제1항, 제2항, 제3항 개인정보의 안전성 확보조치 기준 제5조 제1항, 제2항, 제3항, 제4항 2. 개요 IAM 계정을 관리하는 방법은 수동으로 관리하는 방식부터 오픈소스ㆍ3rd party 솔루션을 활용하는 방식까지 다양한 방법이 존재하지만, 목적론적으로는 IAM 계정 및 역할의 신청ㆍ할당ㆍ관리ㆍ회수에 대한 Life-Cycle 수립을 지향 해야함 Life-Cycle 수립 시 AWS 도큐먼트와 다양한 오픈소스를 참고하여 구성 필요 3. 취약점 판단 기준 IAM 계정 관..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제13조 제1항 제12호 전자금융감독규정 제32조 개인정보의 기술적·관리적 보호조치 기준 제4조 제8항 개인정보의 안전성 확보조치 기준 제5조 제5항, 제6항 2. 개요 관리 콘솔에 접근 가능한 IAM 계정의 비밀번호 복잡도 및 변경 주기 정책을 설정하여 brute force 등 계정 탈취 공격에 대한 보호 필요 [알림] 해당 설정을 적용하지 않아 사고가 발생한 사례 "관리자 비번 알아내 클라우드 접근…보안사고 대책 시급" 3. 취약점 판단 기준 영문ㆍ숫자ㆍ특수문자 중 2종류를 조합하여 10자리 이상 또는 3종류를 조합하여 8자리 이상의 길이로 비밀..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제13조 제1항 제4호 개인정보의 안전성 확보조치 기준 제5조 제1항 2. 개요 권한 관리의 효율성과 편의를 위해 그룹에 권한을 할당하고, 권한이 필요한 IAM 계정을 해당 그룹에 연결 필요 3. 취약점 판단 기준 IAM 계정에 직접 권한을 부여한 경우 취약 권한을 부여한 그룹에 IAM 계정을 연결시킨 경우 취약하지 않음 4. 취약점 확인 방법 - (1) 관리 콘솔에서 확인 관리 콘솔에서 [IAM] 검색 → [사용자] 메뉴 클릭 → IAM 계정 클릭 → [권한] 탭 권한 직접 할당 여부 확인 4. 취약점 확인 방법 - (2) AWS CLI에서 확인 ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제13호 제1항 제1호 전자금융감독규정 제32조 제2호 가목 개인정보의 기술적·관리적 보호조치 기준 제4조 제8항 제3호 2. 개요 AWS 리소스 핸들링을 위해 IAM 계정에 Access key(Access key ID/Secret access key)를 발급한 경우 주기적으로 변경 필요 3. 취약점 판단 기준 Access key 변경 주기를 지정하지 않고, 주기적으로 Access key를 변경하지 않은 경우 취약 Access key 변경 주기를 지정하고, 주기적으로 Access key를 변경한 경우 취약하지 않음 4. 취약점 확인 방법 - (1) ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제13호 제1항 제1호 2. 개요 IAM 계정에 발급한 Access key의 이용 여부를 주기적으로 점검하여 일정 기간 이상 사용하지 않은 Access key 삭제 필요 3. 취약점 판단 기준 주기적으로 Access key 이용 현황을 점검하여 일정 기간 이상 사용하지 않은 Access key를 삭제하지 않는 경우 취약 주기적으로 Access key 이용 현황을 점검하여 일정 기간 이상 사용하지 않은 Access key를 삭제하는 경우 취약하지 않음 4. 취약점 확인 방법 - (1) 관리 콘솔에서 확인 관리 콘솔에서 [IAM] 검색 → [사용자] 메..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제13조 제1항 제4호 개인정보의 안전성 확보조치 기준 제5조 제1항 2. 개요 root 계정은 AWS 리소스에 대한 모든 권한을 보유한 계정이지만 권한 제어가 불가능하기 때문에 명확한 목적 이외에는 사용 제한 필요 3. 취약점 판단 기준 root 계정 사용 이력이 존재하고, 사용에 따른 목적이 불분명한 경우 취약 root 계정 사용 이력이 존재하지 않거나, 사용에 따른 목적을 증명할 수 있는 경우 취약하지 않음 4. 취약점 확인 방법 - (1) 관리 콘솔에서 확인 관리 콘솔에서 [IAM] 검색 → [자격 증명 보고서] 메뉴 클릭 → [보고서 다운로..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제13조 제5항 2. 개요 root 계정은 AWS 리소스에 대한 모든 권한을 보유한 계정이지만, IAM 등을 통한 권한 제어가 불가능 따라서 root 계정에 Access key ID / Secret access key를 발급해 사용하는 경우 과도한 권한으로 인한 휴먼 에러 또는 secret 유출에 대한 리스크가 존재하여 적절한 조치 필요 [참고] 해당 설정을 적용하지 않아 사고가 발생한 사례 개인정보위, 개인정보 유출 16개 사업자에 과징금·과태료 처분 3. 취약점 판단 기준 root 계정에 Access key ID / Secret access ke..
