들어가며
Well-Architected 프레임워크는 고객이 6가지 요소 (운영 효율성, 보안, 안전성, 성능 효율성, 비용 최적화, 지속 가능성)를 중심으로 워크로드를 최적화하여 유지, 관리, 개선을 도와주는 프레임워크입니다.
Well-Architected Framework Review (WAFR)를 고객 사례에 적용하여 진행 하다보면 AWS 보안에 관련된 사소한 부분까지 체크하기는 다소 어려운 부분이 있습니다.
예를 들어 하나의 고객이 해당 보안 그룹과 S3 버킷 정책 등 수십, 수백개가 나열되어 있을경우, 리뷰 기간동안 보안 요소만 체크하는 것만으로도 오랜 시간을 잡아먹을 수 있습니다.
위의 에러 사항을 해결하기 위해 이번 블로그에서는 WAFR와 AWS Trusted Advisor를 사용하여 AWS내 사용중인 리소스 보안을 자동으로 찾을 수 있는 방법을 설명 드리고자 합니다.
AWS Well-Architected 보안 원칙
Well-Architected tool 에서 “워크로드를 안전하게 운영하려면 어떻게 해야 합니까?” 라는 질문 사항은 고객의 워크로드의 보안 계정, 보안 권장 사항 파악 등을 파악하고자 하는 체크 항목입니다.
기존 방식이라면 고객의 ReadOnly 계정을 발급 받아 워크로드의 보안 쪽 리소스를 하나씩 체크해가며 상태를 파악한 후, 마일스톤을 기반으로 지속적인 개선을 통해 문제를 해결해나가지만, AWS에서 제공하는 서비스인 AWS Trusted Advisor와 AWS Config를 통해 이와 같은 문제를 더욱 빠르고 효율적으로 개선할 수 있도록 지원합니다.
AWS Trusted Advisor 보안 인사이트 활용
AWS Trusted Advisor 서비스는 AWS 권장 사항을 제공합니다. AWS 인프라를 최적화하고 보안 및 성능을 개선하며 고객의 워크로드를 평가합니다. 이 서비스를 사용함으로써 빠르고 간편하게 워크로드 개선을 평가 받을 수 있는 인사이트를 얻게 되므로, WAFR에 진행을 더욱 효율적으로 도와줍니다.
먼저 Trusted Advisor로 보안 리뷰 항목 중 아래 있는 2개의 리스트를 확인해 보겠습니다.
보안 그룹 무제한 특정 포트
보안 그룹을 검사하여 특정 포트에 대한 무제한 액세스(0.0.0.0/0)를 허용하는 규칙이 있는지 확인합니다.
위 사진과 같이 사용중인 보안 그룹만 194개인데 해당 보안 그룹의 리전이나 IP/포트 체크 등을 일일이 확인하게 될 경우 많은 시간이 소요되어 리소스 낭비가 발생할 수 있습니다.
S3 버킷 권한
S3에서 열기 액세스 권한이 부여되어 있거나 인증된 AWS 사용자에게 액세스를 허용하는 버킷을 검사합니다.
테스트 계정 또한 S3버킷의 개수가 91개가 있으며, 하나씩 퍼블릭 접근 권한을 검토 하기엔 많은 시간이 소요될 수 있습니다. 사진과 같이 ACL 단에서 열린건지 확인할 필요가 있으며, 버킷 정책에서 권한을 열 수가 있기 때문에 확인 시간이 더 길어질 수도 있습니다.
AWS Config 보안 인사이트 활용
AWS Config는 AWS 서비스의 설정 내역을 검사 및 추적하여 각 AWS 자원의 연관 관계에 대한 정보를 제공합니다. 또한, AWS Config 규칙을 이용하여 관리자가 지정한 규칙을 준수하는지 여부를 검사하여 조직 내에서 사용되고 있는 AWS 자원에 대한 규정 준수 여부를 확인합니다.
이를 통해 AWS에서 사용중인 서비스 보안 준수 상태를 정의하여 자동으로 판독되므로 WAFR에 진행을 더욱 효율적으로 도와줍니다.
Config에서는 AWS에서 기본으로 지원해주는 Rule중에 RDS Aorura 백업 옵션이 활성화 되었는지에 대한 룰을 적용하였습니다.
테스트를 위해 RDS Aurora 생성 시 백업을 비활성화 상태로 생성
AWS Config 룰 적용 확인 결과, 미준수로 출력되었습니다. 이는 단순히 RDS 백업만을 체크 했을 뿐이며, 사용중인 서비스가 많으면 많을수록 다른 컴플라이언스 사항들 또한 이처럼 적용할 수 있습니다.
AWS WAFR 마일스톤 생성
위의 서비스에서 나타난 문제를 Well-Architected tool 노트에 기입하여 고객이 해당 정보를 파악하고 개선해야 할 부분에 대해 고객과 함께 논의하게 됩니다.
개선되어야 할 고위험 및 중간 위험 문제(HRI/MRI)의 건 수가 많을 경우, 고객과 마일스톤 메커니즘을 활용하여 개선사항들을 가시적인 형태로 확인합니다.
메모를 확인 후 마일스톤으로 스냅샷을 남기며 작업을 진행합니다. 해당 기능을 사용함으로써 각 문항을 하나씩 해결하는 것을 기록하여 보고서 작성에 도움을 받을 수 있습니다.
마치며
해당 글은 AWS 파트너뿐만 아니라 일반적인 AWS 사용자나 엔지니어도 쉽게 활용할 수 있는 단계입니다. 이번 블로그에서는 AWS 서비스를 사용하여 WAFR를 보다 빠르고 효율적으로 사용하는 방법을 알아봤습니다. AWS Trusted Advisor와 AWS Config 서비스를 포함한 다른 AWS 서비스를 활용하여 검사항목 리스트를 받고 Well-Architected의 보안 뿐만 아니라 운영 효율성, 안전성, 성능 효율성, 비용 최적화, 지속 가능성 같은 다양한 방면으로 리뷰할 수 있습니다.
작성자 : 김무원 (Moowon Kim)
※스마일샤크가 제공하는 모든 콘텐츠는 관련 법의 보호를 받습니다. 스마일샤크 콘텐츠를 사전허가 없이 무단으로 복사·배포·판매·전시·개작할 경우 민·형사상 책임이 따를 수 있습니다. 콘텐츠 사용과 관련해 궁금한 점이 있으면 전화(☎:0507-1485-2028) 또는 이메일(contact@smileshark.kr)로 문의하기 바랍니다.
Comments