[SAA] AWS Security & Encryption: KMS, Encryption SDK, SSM Parameter Store

1. Encryption 101

• Encryption in flight(SSL)
  
  
  • 데이터가 전송되기 전에 암호화되고 서버가 수신 후에 복호화
  • SSL 인증서를 통해 구현(https)
  • 중간자 공격(MITM, Man in the middle attack)을 방지
• Server side Encryption at rest
  • 데이터는 서버에서 수신된 후 암호화
  • 데이터는 클라이언트로 다시 전송되기 전에 복호화
  • 데이터는 키(데이터 키)를 통해 암호화된 형태로 저장
  • 암호화/복호화 키는 어딘가에서 꼭 관리되어야 하며(주로 KMS 같은 곳), 서버는 이와 통신할 수 있어야 함
• Client side Encryption
  • 데이터는 클라이언트에 의해 암호화도디고 서버는 절대 복호화할 수 없음
  • 데이터는 수신 클라이언트에 의해 복호화
  • 서버는 데이터 복호화 X
  • 봉투 암호화 활용 가능

2. AWS KMS(Key Management Service)

• AWS에서 "암호화"라는 용어는 대부분 KMS를 의미
• KMS 서비스를 사용하면 AWS에서 암호화 키를 관리
• KMS는 권한 부여를 위해 IAM과 완전히 통합
• 암호화된 데이터에 대한  액세스를 쉽게 제어할 수 있는 방법을 제공
• CloudTrail을 통해 키를 사용하기 위해 호출한 모든 API 감시 가능
• 대부분의 AWS 서비스에 KMS를 원할하게 사용 가능(EBS, S3, RDS, SSM ...)
• 암호 데이터는 절대 평문으로 저장 X, 코드에 절대 사용 X
  • KMS 키 암호화는 API 호출을 통해 사용할 수 있음(SDK, CLI)
  • 암호화된 데이터는 코드나 환경변수에 저장 가능
• KMS KeysTypes
  • KMS Key 는 KMS 고객 마스터 키의 새로운 이름
  • 대칭(Symmetric)키 (AES-256 Keys)
    • 암호화 및 복호화에 사용하는 단일 암호화 키
    • KMS와 통합된 AWS 서비스에서는 대칭 CMK를 활용
    • KMS 대칭 키를 생성하거나 사용하면 키 자체에는 절대 액세스 불가, 키를 사용하기 위해서는 KMS API 호출 필수
  • 비대칭(Asymmeetric)키 (RSA &  ECC Key pairs)
    •  퍼블릭 키(암호화) 와 프라이빗 키(복호화)의 쌍
    • 암호화/복호화 또는 작업 할당(sign)/검증 작업에서 사용
    • KMS에서 퍼블릭 키를 다운로드 할 수 있지만, 프라이빗 키에는 액세스 할 수 없음
    • ex) KMS API를 호출할 수 없는 사용자에 의해 AWS 외부에서 암호화, 이후 AWS 프라이빗 키로 해당 데이터를 복호화
• AWS KMS (Key Management Service)
  • KMS 키 유형
    • AWS 관리 키: aws/service-name, ex: aws/rds, aws/ebs - 무료
    • KMS에서 생성한 고객 관리형 키(CMS): $1 / month
    • 자체 키 구성 요소를 KMS에 imported (256-bit 대칭키): $1 / month
    • KMS API  호출에 대한 비용 추가 ($0.03 / 10,000 호출)
  • 자동 키 로테이션
    • AWS 자동 관리형 KMS Key: 1년에 한번씩 자동 교체
    • 고객 관리형 KMS 키: (활성화 필요) 1년에 한번씩 자동 교체
    • KMS에 가져온 자체 키: 별칭을 사용하여 수동으로만 교체 가능
  • Copying Snapshots across regions
    • 1. EBS 볼륨 스냅샷 생성
    • 2. 암호화된 스냅샷에서 스냅샷을 생성하면 생성된 스냅샷 또한 동일한 KMS 키로 암호화 됨
    • 3. 다른 리전으로 스냅샷을 복사하기 위해 다른 KMS키를 사용하여 스냅샷을 다시 암호화해야 하는데 이는 AWS에서 자동 처리, 동일한 KMS 키가 서로 다른 리전에 있을  수 없음
    • 4. KMS로 스냅샷을 자체 EBS 볼륨으로 복원하고 KMS 키를 다른 리전으로 복원
• KMS Key Policies
  • KMS 키에 대한 액세스를 제어하는데 사용되는 정책, S3 버킷 정책과 유사
  • KMS 키에 KMS 키정책이 없으면 누구도 액세스할 수 없음
  • Default KMS  키 정책
    • 사용자 지정 키  정책을  제공하지 않을 시 생성
    • 기본적으로  계정의 모든사람이 키에 액세스하도록 허용하는것
  • 사용자 지정 KMS 키 정책
    • 사용자 및 역할 정의: KMS 키에 액세스할 수 있는 사용자, 역할 지정
    • 키를 관리할 수 있는 사용자 정의
    • KMS 키의 교차 계정 액세스에 유용
    • Copying Snapshots across regions
      • 1. 자체  KMS 키로 암호화한 스냅샷 생성
      • 2. 교차 계정 액세스 권한 부여를 위해 KMS 키 정책을 연결
      • 3. 암호화된 스냅샷을 대상 계정에 공유
      • 4. (대상 계정에서) 스냅샷의 복사본을 생성하고, 계정 내 CMK로 암호화
      • 5. 스냅샷으로부터 볼륨 생성
• KMS Multi-Region Keys
  • 다른 AWS 리전에서 사용할 수 있는 상호 교환 가능한 KMS 키
  • 다중 리전 키는 동일한 키 ID 와 동일한 키 구성 요소를 갖는다
    • 기본 키의 자동 교체를 활성화한 뒤, 자동으로 교체된 경우 다른 리전에도 복제
  • 한 리전에서 암호화한 다음 다른 리전에서 복호화 가능
  • 다른 리전으로 복제할 때나 교차 리전 API 호출을 실행할 때 데이터를 재암호화할 필요 X
  • KMS 다중 리전 키는 전역으로 사용 불가
  • 각각의 다중 리전 키는 독립적으로 관리되어야 함
  • ex) 전역 클라이언트 측 암호화, DynamoDB 전역 테이블, Global Aurora에서의 암호화
  • DynamoDB 전역 테이블에서의 다중 리전 키 암호화
    • Amazon DynamoDB Encryption Client를 사용하여 DynamoDB 테이블의 특정 속성을 클라이언트 측에서 암호화 할 수 있음
    • DynamoDB 전역 테이블과 결합하면, 클라이언트  측으로 암호화된 데이터가 다른 리전으로 복제
    • 다중 리전 키를 사용하고 DynamoDB 전역 테이블과 동일한 리전에 복제된 경우, 해당 리전의 클라이언트는 자신의 리전에서 다중 리전 키를사용해 KMS에 로컬 API 호출을 보내 해당 속성을 복호화, 이는 지연 시간을 단축시킬 수 있음
    • 클라이언트 측 암호화를 사용하면 특정 필드를 보호하고, API 키 액세스 권한이 있는 클라이언트만 복호화 할 수 있음
  • GlobalAurora에서의 다중 리전 키  암호화
    • AWS Encryption SDK를 사용하여 Aurora 테이블에서 특정 속성을 클라이언트 측에서 암호화할 수 있음
    • Aurora Global Tables와 결합하면 클라이언트 측으로 암호화된 데이터가 다른 리전으로 복제
    • 다중 리전 키를 사용하고 Global Aurora DB와 동일한 리전에 복제된 경우, 해당 리전의 클라이언트는 자신의 리전에서 다중 리전 키를 사용해 KMS에 로컬 API 호출을 보내고 해당 속성을 복호화, 이는 지연 시간을 단축시킬 수 있음
    • 클라이언트 측 암호화를 사용하면 특정 필드를 보호하고, API 키 액세스 권한이 있는 클라이언트만 복호화 가능, DB 관리자로부터도 특정 필드 보호 가능

3. S3 Replication Encryption Considerations

• 한 버킷에서 다른 버킷으로 S3 복제를 활성화하면 암호화되지 않은 객체와 SS3-S3로 암호화된 객체가 기본적으로 복제됨
• SSE-C(고객 제공 키)로 암호화된 객체는 절대로 복제되지 않음
• SSE-KMS로 암호화된 객체의 경우 옵션을 활성화해야 함
  • 대상 버킷 내에서 객체를 암호화할 KMS 키를 지정
  • 대상 키를 위한 KMS 키 정책을 조정
  • 소스  KMS 키에  대해 kms:Decrypt 및 대상 KMS 키에 대해 kms:Encrypt를 사용하는 IAM 역할이 필요
  • KMS 스트롤링 오류  발생가능, 이 경우 서비스 할당량을 늘리도록 요청
• 공식 문서에 딷르면 S3 복제에 다중 리전 키를 사용할 수 있으나, 현재는 Amazon S3에서 독립 키로 취급하고 있으므로 객체는 여전히 복호화될 것이고 다중 리전 키인 경우에도 동일한 키로 암호화 됨
• AMI Sharing Process Encrypted via KMS
  • 1. 소스 계정의 AMI는  소스 계정의 KMS 키로 암호화
  • 2. 대상 AWS 계정에 해당하는 시작 권한을 추가하기 위해 이미지 속성 수정 - 특정 대상인 경우 AWS 계정 ID 추가
  • 3. AMI가 참조하는 스냅샷을 암호화하는 데 사용된 KMS 키를 대상 계정 또는 IAM 역할과 공유해야 함
  • 4. 대상 계정의 IAM 역할/사용자는 DescribeKey, ReEncrypt, CreateGrant, Decrypt 권한 필요
  • 5. (선택사항) AMI에서 EC2 인스턴스를 시작할 때 대상 계정은 볼륨을 다시 암호화하기 위해 자체 계정의 새로운 KMS 키 지정 가능

4. SSM Parameter Store

• 구성(configuration) 및 암호를 위한 보안 스토리지
• 선택적으로 KMS 서비스를 사용하여  원활한 암호화 가능
• 서버리스, 확장성, 내구성이 뛰어나며 쉬운 SDK 제공
• 구성 및 암호의 버전 추적
• IAM 을 통한 보안 기능
• Amazon EventBridge를 통한 알림 기능
• CloudFormation과의 통합

	Standard	Advanced
허용되는 총 파라미터 수 (AWS 계정 및 AWS 리전당)	10,000건	100,000건
파라미터 값의 최대 크기	4kb	8kb
파라미터 정책 사용 가능	No	Yes
비용	추가 요금 X	요금 적용
스토리지 비용	무료	$0.05 / month

 

• Parameters Policies ( for advanced parameters)
  • 파라미터 정책은 SSM 파라미터 스토어에서 고급 파라미터에 추가적인 제어와 권한을 할당하는 기능
    • TTL(만료 기한): 비밀번호화 같은 민감한 데이터를 자동으로 무효화하여 지정된 시간이 지나면 정기적으로 업데이트 or 삭제 될 수 있도록 함
    • 다중 정책 할당: 파라미터에 여러 정책 할당 가능, 조직 내의 다른 사용자 도는 그룹에 대해 서로 다른 권한과 접근 제어 정의 가능

 

5. AWS Secrets Manager

• 암호를 저장하는 최신 서비스
• n일마다 강제로 암호 교체 기능이 있음
• 교체할 암호 강제 생성 및 자동화 기능(Lambda 활용)
• Amazon RDS와 통합 가능(MySQL, PostgreSQL, Aurora)
• KMS를 사용한 암호화
• 주로 RDS와 같은 서비스와의 통합을 위해 설계되었으며, 비밀 정보의 안전한 저장과 교체를 간편하게 관리할 수 있는 강력한 도구
• Multi-Region Secrets
  • 여러 리전 간의 암호 복제
  • Secret Manager 서비스가 기본 암호화와 동기화된 읽기 전용 복제본을 유지함
  • 읽기 전용 복제본을 독립 실행형 암호로 승격할 수 있음
  • ex) 다중 리전 애플리케이션, 재해 복구 전략, 다중 리전 데이터베이스 등

6. AWS Certificate Manager (ACM)

• TLS 인증서를 AWS에서 프로비저닝, 관리 및 배포할 수 있는 서비스
• 웹사이트의 전송 중 암호화를 위한 인증서 제공(HTTPS)
• 퍼블릭 및 프라이빗 TLS 인증서 모두 지원
• 퍼블릭 TLS 인증서는 무료 제공, 자동 갱신 기능
• 여러 AWS 서비스와 통합 가능
  • Elastic Load Balancer(CLB, ALB, NLB)
  • CloudFront 배포
  • API Gateway의 모든 API
• EC2 에서는 사용 불가! 인증서 추출이 불가능 하기 때문에
• Requesting Public Certificates
  • 1. 인증서에 포함할 도메인 이름 목록 작성
    • 완전한 도메인 이름(FQDN): corp.example.com
    • 와일드카드 도메인: *.example.com
  • 2. 유효성 검증 방법 선택
    • 자동화를 위해서는 DNS유효성 검증을 선호
    • 이메일 유효성 검증은 WHOIS 데이터베이스의 연락처 이메일로 발송
    • DNS 유효성 검증은  CNAME 레코드를 DNS 구성에 활용(ex: Route 53)
  • 3. 검증 완료 시까지 몇시간 정도 소요
  • 4. 퍼블릭 인증서는 자동 갱신
    • ACM은 ACM에서 생성한 인증서를 만료 60일  전에 자동으로 갱신
• Importing Public Certificates
  • ACM 외부에서 인증서를 생성한 뒤 가져올 수 있는 옵션
  • 자동 갱신이 불가능, 만료 전에 새로운 인증서를 등록해야 함
  • ACM은 만료 45일 전부터 매일 만료  이벤트 전송(알림 주기는 설정가능, 이벤트는 EventBridge에 표시)
  • AWS Config 의 acm-certificate-expiration-check 규칙으로 만료 예정 인증서를 확인할 수 있음
• Integration with API Gateway
  • ACM을 API Gateway와 통합하기 위해서는 API Gateway에 사용자 지정 도메인 이름(Custom Domain Name)이라는 리소스 생성
  • API Gateway Endpoint Types
    • 엣지 최적화(Edge-Optimized)(default): 글로벌 클라이언트를 위한 유형 - ACM 적합
      • CloudFront 엣지 로케이션으로 요청을 라우팅(지연 시간 감소)
      • 하나의 리전에만 있는 API Gateway로 보내는 경우
      • TLS 인증서가 CloudFront 배포에 연결되기 때문에 TLS 인증서와 CloudFront는 반드시 같은 리전에 생성되어야 함
      • CNAME이나 별칭(A-Alias) 레코드를 설정하여 사용자의 DNS를 가리키도록 설정
    • 리전(Regional) - ACM 적합
      • 클라이언트가 API Gateway와  같은 리전에 있는  경우
      • CloudFront는 사용할 수 없지만 자체 CloudFront 배포를 생성하여 캐싱 및 배포 전략 제어
      • TLS 인증서를 API Gateeway에 가져올 때에는 같은 리전에 있어야 함
      • CNAME이나 별칭(A-Alias) 레코드를 설정하여 사용자의 DNS를 가리키도록 설정
    • 프라이빗(Private)
      • 인터페이스 VPC 엔드포인트 (ENI)를 통해 VPC 내부에만 액세스 가능
      • 액세스를 정의하는 리소스 정책 필요

7. AWS WAF(Web Application Firewall)

• 주로 7계층 (Layer 7: http)에서 일어나는 웹 취약점 공격으로부터 웹 애플리케이션 보호
• 다양한 AWS 서비스에 배포 가능
  • Application Load Balancer
  • API Gateway
  • CloudFront
  • AppSync GraphQL API
  • Cognito User Pool
• 웹 액세스 제어 목록(Web Access Control List, Web ACL)은 아래의 규칙들로 정의
  • IP Set: 최대 10,000개의 IP 주소 - 더 많은 IP 주소를 위해서는 여러개의 규칙 사용
  • HTTP Header, HTTP Body 또는 URI 문자열: 일반적인 공격인 SQL Injection과 Cross-Site Scripting(XSS)로부터 보호하기 위해 HTTP Header, HTTP Body, URI 문자열을 기준으로 필터링 하는 기능 제공
  • 용량 제약
  • 지역 일치(geo-match): 특정 국가에서의 액세스 차단
  • 속도 기반 규칙(Rate-based rules): DDos 공격으로부터 보호하기 위한 기능 제공, 초당 요청 횟수 등의 제한을 설정하여 공격을 탐지하고 차단
• Web ACL은 일반적으로 리전별로 제어, CloudFront는 전역 적용
• 규칙 그룹은 재사용 가능한 규칙 세트로 Web ACL에 추가할 수 있는 기능 제공
• Fixed IP while using WAF with a Load Balancer
  • WAF는 Network Load Balancer(Layer 4) 지원 X
  • 따라서 WAF를 제공하려면 애플리케이션 로드 밸런서가 필요
  • 하지만 애플리케이션 로드 밸런서는 고정 IP X
  • AWS Gloabal Accelerator로 고정 IP 할당 후 ALB에서 AWS를 활성화 하여 해결

8. AWS Shield: protect from DDos Attack

• DDos: Distributed Denial of Service, 분산 서비스 거부 공격: 동시에 엄청난 양의 요청이 세계 곳곳의 컴퓨터에서 유입되는 공격, 인프라에 과부하를 일으켜 사용자들에게 서비스를 제공할 수 없게 만드는 것이 목적
• AWS Shield Standard
  • 모든 AWS 고객에게 자동으로 활성화되어있는 무료 서비스
  • SYN/UDP Floods, 반사 공격 및 기타 3/4 계층 공격과 같은 공격으로부터 보호 제공
• AWS Shield Advanced
  • DDos 완화 서비스 ($3,000 / month / organization)
  • Amazon EC2, Elastic Load Balancer(ELB), Amazon CloudFront,  AWS Global Accelerator, Route 53을 정교한 공격으로부터 보호
  • AWS DDos 대응팀 항시 대기
  • Shield Advanced는 자동 애플리케이션 계층 DDos 완화를 제공하여 자동으로 AWS WAF 규칙을 생성, 평가 및 배포하여  7계층 공격을 완화

9. AWS Firewall Manager

• AWS 조직에 있는 모든 계정의 방화벽 규칙을 관리하는 서비스
• 보안 정책: 공통 보안 규칙의 집합
  • WAF 정책: Application Load Balancer, API Gateway, CloudFront
  • AWS Shield Advanced: ALB, CLB, NLB, Elastic IP, CloudFront
  • EC2 Application Load  Balancer 및 VPC의 ENI 리소스를 위한 보안 그룹
  • AWS Network Firewall(VPC 수준)
  • Amazon Route 53 Resolver DNS Firewall
  • 정책은 리전 수준에서 생성
• AWS Firewall Manager에서 정의한 규칙은 새로운 리소스가 생성될 때 자동으로 적용, 이를 통해 규정 준수를 위한 모든 계정 및 미래의 계정에서 일관된 보안 규칙 유지 가능

10. WAF vs Firewall Manager vs  Shield

• WAF, Shield, Firewall Manager 모두 포괄적인 계정 보호를 위한 서비스
• WAF에서는 웹 ACL 규칙 정의
• 리소스에 대한  세분화된 보호를 위해 WAF 단독 사용이 올바른 선택
• 여러 계정에서 WAF를 사용하고, WAF 구성을 가속하고, 새로운 리소스의 보호를 자동화하려면 Firewall Manager로 WAF 규칙 관리 - Firewall Manager는 이러한 규칙들을 모든 계정과 모든 리소스에 자동 적용
• Shield Advanced는 AWS WAF 기능 외에도 더 많은 기능을 제공-  Shield Response Team(SRT)로부터 전용 지원 및 고급 보고서 제공, WAF 규칙 자동 생성 등
• DDos 공격을 자주 받는다면 Shield Advanced를 사용하는 것이 좋음
• Firewall Manager는 모든 계정에 Shield Advanced를 배포하는 데 도움을 줌

11. DDos Protection Best Practice

• Edge Location Mitigation
  • BP1 - CloudFront
    • CloudFront를 사용하여 웹 애플리케이션을 엣지에서 제공
    • SYN Flood나 UDP 반사 등의 일반적인 DDos 공격은 Shield 설정으로 방어 가능
  • BP1 - Global Accelerator
    • Global Accelerator를 통한 전 세계의 엣지에서 애플리케이션에 접근
    • DDos 보호를 위해 AWS Shield와 통합
    • CloudFront가 백앤드와 호환되지 않는 경우 유용
  • BP3 - Route 53
    • 엣지에 도메인 이름 변환을 글로벌로 설정: DNS에도 DDos 보호 매커니즘 적용 가능
• Best Practices for DDos mitigation
  • 인프라 레이어 방어(BP1, BP3, BP6)
    
    • CloudFront, Global Accelerator, Route 53, Elastic Load Balancer는 높은 트래픽으로부터 EC2 보호
    • EC2 인스턴스 도달 전에 트래픽 관리 가능
  • Amazon EC2와 오토 스케일링(BP7)
    • 플래시 클라우드 또는 DDos와 같은 급격한 트래픽 급증 시 확장 지원
  • Elastic Load Balancer(BP6)
    • Elastic Load Balancer는 트래픽이 증가함에 따라 확장되고, 트래픽을 여러 EC2 인스턴스에 분산
• Application Layer Defense
  • 악성 웹 요청 감지 및 필터링 (BP1, BP2)
    • CloudFront는 정적 콘텐츠를 캐시하고 엣지 위치에서 제공함으로써 백엔드를 보호
    • AWS WAF는 CloudFront와 Application Load Balancer 위에서 사용되며, 요청 서명에 기반하여 요청을 필터링하고 차단
    • WAF의 속도 기반 규칙은 악성 사용자의 IP를 자동으로 차단
    • WAF에서 관리되는 규칙을 사용하여 IP 평한테 기반한 공격을 차단하거나 익명 IP를 차단
    • CloudFront에서는 특정 지리적 위치를 차단
  • Shield Advanced(BP1, BP2, BP6)
    • Shield Advanced를 확성화하면 자동으로 WAF 규칙을 자동으로 생성, 평가 및 배포하여 7계층 공격 완화
• Attack surface reduction
  • AWS Resource Obfuscating(BP1, BP4, BP6)
    • CloudFront, API Gateway, Elastic Load Balancer를 사용하여 백엔드 리소스 (Lambda Functions, EC2 Instances) 숨기기
  • 보안 그룹 및 네트워크 ACL(BP5)
    • 보안 그룹과 네트워크 ACL등을 사용하여 서브넷이나 ENI 수준에서  특정 IP를 기반으로 트래픽 필터링
    • Elastic IP는 AWS Shield Advanced로 보호할 수 있음
  • API Endpoint 보호(BP4)
    • API Gateway를 사용하여 EC2, Lambda 및 기타 리소스 숨기기
    • 엣지 최적화 모드 또는 CloudFront에 리전 모드를 더하여 사용 (DDos에 대한 제어 기능 강화)
    • WAF + API Gateway: 버스트 제한, 헤더 필터링, API 키 사용 등을 활용

12. Amazon GuardDuty

• AWS 계정을 보호하기 위한 지능형 위협 탐지 서비스
• 머신 러닝 알고리즘을 사용하여 이상 탐지를 수행하고 타사 데이터를 활용하여 위협 탐지
• 소프트웨어 설치 필요 없이 클릭 한번으로 활성화 가능 (30 days free tier)
• 입력 데이터는 다음과 같은 정보 포함
  • CloudTrail Event Logs:  비정상적인 API 호출, 무단 배포 탐지
    • CloudTrail 관리 이벤트: VPC 서브넷 생성, 트레일 생성 등
    • CloudTrail S3 데이터 이벤트: get object, list objects, delete object 등
  • VPC Flow Logs: 비정상적인 인터넷 트래픽, 비정상적인 IP 주소 등
  • DNS Logs: 인코딩된 데이터를 전송할 EC2 인스턴스가 손상되었는지 확인
  • Kubernetes 감사 로그: 수상한 활동 및 잠재적인 EKS 클러스터 손상 감지
• 이벤트 발견 시 알림을 받기 위해 CloudWatch 이벤트 규칙을 설정할 수 있음
• 작업을 수행할 AWS Lambda 또는 이메일을 보낼 SNS를 대상으로 CloudWatch 이벤트 규칙 설정 가능
• 암호화폐 공격에 대한 보호 제공

13. Amazon Inspector

• 자동화된 보안 평가 도구
• EC2 인스턴스를 대상으로 자동 보안 평가 수행
  • AWS Systems Manager(SSM) 에이전트를 활용하여 실행
  • 의도하지 않은 네트워크 접근 가능성에 대해 분석
  • 실행중인 운영체제에서 알려진 취약점을  분석
• Amazon ECR로 컨테이너 이미지 푸시할 때
  • 컨테이너 이미지에 대한 평가 수행
• Lambda 함수가 배포될 때
  • 함수 코드 및 패키지 종속성에서 소프트웨어 취약성 분석
• Amazon Inspector가 작업을 완료하면 AWS Security Hub에 보고
• 발견된 이슈는 Amazon EventBridge를 통해 전송 가능
• 평가 항목
  • Remeber: 실행중인 EC2 인스턴스, Amazon ECR의 컨테이너 이미지, Lambda 함수에만 사용
  • 지속적으로 스캔을 수행하고 필요한 경우에만 평가 진행
    • 패키지 취약점(EC2, ECR, Lambda): EC2 인스턴스, Amazon ECR에 저장된 컨테이너 이미지, Lambda 함수에 설치된 패키지의 취약점을 스캔하여 취약성 데이터베이스(CVE)와 비교
    • 네트워크 접근성(EC2): Amazon Inspector는 EC2 인스턴스의 네트워크 접근성을 평가하며, 의도치않게 노출된 서비스나 보안 위험이 있는 접근성을 확인
  • Amazon Inspector는 모든 취약점에 대해 위험 점수를 할당하여 우선 순위  결정

14. Amazon Macie

• 완전 관리형의 데이터 보안 및 개인 정보 보호 서비스
• 머신 러닝과 패턴 일치를 사용하여 AWS의 민감한 데이터를 검색하고 보호
• 개인 식별 정보(PII)와 같은 민감한 데이터를 식별하고 경고하여 데이터 보호