기술 이모저모/[AWS] Workshop

[AWS][SecurityHub] 각종 Resource 규정 미준수 통합 관리

Kobby 2022. 2. 28. 22:42

AWS에는 보안을 위한 다양한 서비스가 존재한다.

 

AWS Inspector, Config, GarudDuty 등등 이렇게 많은 로그를 한눈에 볼 수 있는 방법은 무엇일까?

 

AWS SecurityHub에서 각종 서비스 및 3rd 로그를 취합하여 한눈에 모니터링 할 수 있다!!

 

AWS SecurityHub 서비스란?

AWS 보안 상태를 한눈에 보기 위한 대시보드이다.

 

기본적으로 GuardDuty, Inspector, Macie, Config 등의 AWS Service뿐 아니라 3rd 로그를 취합하고 이를 시각화해준다.

SecurityHub 설명

 

또한, AWS Config에서 지정한 규정 팩 외 AWS 모범사례, CIS, PCI 기반의 규정을 기반으로 점검을 할 수도 있다.

 - AWS가 이런점이 아주 좋은거 같다. 회사에서 필요로 하는 부분이 많이 서비스화되어 있다.

   물론 무료가 아니라는 큰 단점이 있지만, 어느정도 비용만 낸다면 좋은 서비스를 많이 이용할 수 있다.

Security Hub 모범사례 선택사항

 

SecurityHub를 사용하는 방법은 매우 간단하다. SecurityHub Main에서 활성화 버튼만 선택하면 된다.

SecurityHub 활성화 방법

활성화 단계에서 아래 3가지 보안표준을 체크안했다고 걱정할 필요가 없다!

왜냐하면, 활성화 된 이후 관리자가 원하면 바로 활성화/비활성화가 가능하다.

 

SecurityHub 대시보드 1
SecurityHub 대시보드 2

SecurityHub를 활성화하면 위와 같이 보안 표준에 대한 요약본과 미리 정의하거나 내가 지정한 인사이트를 시각화해서 보여준다.

 

이제부터는 SecurityHub의 카테고리에 대해 알아보자!!

 - SecurityHub는 요약/보안 표준/인사이트/분석 결과/통합의 카테고리를 가지고 있다.

 

□ 요약 : 말그대로 SecurityHub에 대한 요약페이지이다. 전체적인 현황과 미리 정의한 인사이트 일부를 볼 수 있다.

 

□보안 표준 : AWS에서 말하는 3가지 모범사례를 활성화/비활성화하는 카테고리이다.

SecurityHub 보안 표준

최초 SecurityHub를 시작할 때, 선택했던 보안 표준을 뜻하며, 각 보안 표준마다의 점수를 알 수 있다.

 

특히, 각 보안 표준마다 "결과 보기"를 선택하면 전체 XX개 점검 항목 中 Pass / Fail 항목을 보여준다.

보안 표준 결과 보기

특히, 규정 준수에 실패한 표준 선택하여 리소스를 클릭할 경우, 아래와 현재의 설정을 보여준다.

 - 아래는 VPC 기본 보안 그룹에 인/아웃 바운드 트래픽을 허용하지 않아야 하는 보안 표준이지만

    VPC Default에 인바운드는 보안 그룹으로 제한했지만, 아웃바운드에 0.0.0.0/0이 설정되어 있어 규정 미준수이다.

SecurityHub 미준수 보는 방법

□ 인사이트 : 분석 된 결과를 시각화해주는 템플릿을 정의할 수 있다.

SecurityHub 인사이트

인사이트는 기본적으로 제공해주기도 하지만, 사용자 지정 인사이트를 만들수도 있다.

 

그리고 인사이트를 선택하면, 각 인사이트마다 해당하는 상세 내용을 보여준다.

어떤 리소스, 심각도, 계정 ID 등에서 규칙 미준수가 많은지 알 수 있고, 특히 각 리소스마다 새로운 이벤트인지/아닌지

워크플로 상태를 지정할 수 있다.

 - 만약 이전에 확인 또는 해결된 리소스 문제일 경우 "알림" 또는 "해결됨"으로 변경하여 이력관리하기 좋은 것 같다.

인사이트 상세 내용

□ 분석 결과 : SecurityHub에서 가장 중요한 기능이자, 로그를 검색하는 카테고리로 보면 된다.

 - 다만, 그 로그 검색이 아주 불편하다..... 매우매우.. 제발 개선좀 해주세요. 최소한 대/소문자라도..

분석 결과 상세 내용 - 1

규정 미준수한 리소르를 선택 > 전체 세부 정보를 선택하여 현재 리소스의 설정 정보를 확인할수도 있고

분석 결과 상세 내용 - 2

또는 제목을 선택할 경우, 해당 규칙에 대한 자세한 정보를 알 수 있다.

언제 점검했고 어느 제품에서 하였으며, 몇 정도의 심각도를 가지고 있는지 등등

 - 상단 Fiinding ID를 선택하면 점검 내용과 결과를 JSON 형태로 볼 수 있는데,

    해당 JSON으로 뭔가 자동화할 수도 있을거 같은데.. 아직은 잘 모르겠다.ㅎㅎㅎㅎ

□ 통합 : SecurityHub와 통합할 수 있는 서비스를 표시해준다.

기본적으로 AWS 서비스 외 다양한 3rd 제품군이 있다.

통합 서비스 - 1
통합 서비스 - 2

 

AWS SecurityHub를 한마디로 표현하면, 다양한 서비스 로그를 취합해서 시각화해주는 대시보드 서비스이다.

 

각 서비스에 들어가서 리소스를 선택할 수 있지만,

전체 서비스에 발생하는 해당 리소스의 문제점 등을 한눈에 볼 수 없기 때문에 만들어진 서비스이다.

 

잘 사용하면 좋겠지만, 그만큼 제공해주는 정보 또한 너무 많다.

 

실무에서 한번 써보고 싶다 ㅜㅜ

 

실제로 실무에 계신분들.. SecurityHub를 어떻게 사용하나요?? 답글 좀 남겨주세요 ㅜㅜ

 

오늘은 이만~