-
aws - Redshift, 보안 가이드 감사Cloud/aws 2022. 7. 1. 01:56
회계, 정보 시스템 감사
- 적정 : 잘 되어 있음
- 한정 : 조건부로 하고 있음
- 부적정 : 안되고 있음
- 의견 거절 : 감사인의 의견을 제시하지 않겠음
인증
- 정상
- 미흡 : 약간 부족함
- 결함 : 안되어 있음
: 일정 수준의 미흡, 결함 시 인증을 해주지 않음
위험 (Risk)
- 자산 (Asset) : 가치를 지닌 모든 것 ex) 유형 자산(부동산, 금품), 무형 자산(Brand, 지적 재산, 평판, 기업 이미지, 고객 신뢰도 등)
- 위협 (Threat) : 외부, 내부로부터 발생하는 자산에 대해 침해하는 것 ex) 재해 (호우, 화재, 태풍 등), 사고, 악성코드, 악의적 의도, 사람 등
- 위험 (Risk) : 자산이 위협으로부터 손실을 일으킬 가능성 ex) 높다/낮다, 있다/없다
여러 사람이 계정 1개를 공유하게되면... - 누가 실수 또는 행위를 했는지 알 수 없음 (책임소재 불분명)
Google OTP 사용시 주의사항
- 휴대폰 App으로 설치하는 경우, 휴대폰을 분실하거나 새 휴대폰으로 바꾸는 경우 로그인이 불가능해집니다.
사용자 생성시 유의사항
ex) DB 관리자가 5명인 경우
RDS_admin_01, RDS_admin_02, RDS_admin_03, ... (IT 관리 지침)ex) 서버가 100대가 있는 경우001, 002, 003 ~ ... 100 (X)최소한 7~8자리 이상으로 부여해야 관리 가능 (교체, 신규 등에 번호를 다시 매기지 않도록 설정)
aws Redshift
데이터 웨어하우스 서비스를 aws Cloud에서 제공
데이터 웨어하우스는 DB를 통합 관리 > 대기업에서 많이 사용
데이터 웨어하우스에는 여러 부서의 정보들이 취합 > 경영진의 의사 결정이 가능해짐 ex) 신차 투입 시기, 스마트폰 투입 시기 등
KMS (Key Management Service) : 암호화 키를 관리하는 서비스 ex) key.pem TML 서버용 공개키 등
Secret Manager : 비밀번호를 관리하는 서비스 ex) DB PW
SSH Key의 인바운드 설정
111.20.30.7/32 > IP 전체(4 Otect)를 확인 > 나만 접속 가능 (IP가 바뀌면 접속 불가)
111.20.30.0/24로 설정하는 것이 좋음 > 우리 부서에서 접속 가능
Security Group
- 모두 거부
- 허용만 설정
- 시스템 방화벽 ex) EC2, RDS 등
NACL (Network Access Control List)
- 번호가 주어져 있음
- 허용과 거부가 모두 있음
- 가장 아래쪽에는 모두 거부가 배치
- 번호가 작을 수록 우선순위가 높음
- 번호를 100 단위로 작성 > 나중에 중간에 끼워 넣기 위해
- 방화벽 Rule-Set 작성 규칙과 동일
- 네트워크 방화벽 ex) VPC, Subnet 등
감사 (Audit)
- 통제 (Control) : 위험 (Risk)을 줄이기 위해 사용하는 것
- 감사 (Audit) : 통제가 적절한 지 확인하는 것
위험 < 통제 < 감사
감사를 하기 위해서 기록을 확인 < 로그 조회
예시 코드
cat auth.log | awk '{print $1, $6}' | sort | sort -rn | head -10
로그에는 육하원칙 (5W, 1H) 중, Why를 제외하고 다섯 가지가 포함됩니다.
- 언제(When), 누가(Who), 어디서(Where), 무엇을(What), 어떻게(How) 했다는 내용이 포함되어 있습니다.
감사는 증적(Trail, 추적 가능한 증거 = 로그)을 중요하게 생각
- aws CloudTrail (감사를 위한 서비스) > 누가(Who) 했는지를 알아내는 것이 목적
보안 가이드 감사 실습
: 항목에 맞게 정상, 미흡, 결함의 여부를 따지며 작성
'Cloud > aws' 카테고리의 다른 글
aws - DevOps, Lambda (0) 2022.06.23 aws - Lambda, Elastic Beanstalk, Terraform (0) 2022.06.22 aws - Cloud Watch (0) 2022.06.21 aws - DevOps, Cloud Formation (0) 2022.06.21 aws - ECS, Docker, DynamoDB, NoSQL, System Architecture Design (0) 2022.06.20