aws - Redshift, 보안 가이드 감사

aws

회계, 정보 시스템 감사

- 적정 : 잘 되어 있음

- 한정 : 조건부로 하고 있음

- 부적정 : 안되고 있음

- 의견 거절 : 감사인의 의견을 제시하지 않겠음

 

인증

- 정상

- 미흡 : 약간 부족함

- 결함 : 안되어 있음

: 일정 수준의 미흡, 결함 시 인증을 해주지 않음

 

위험 (Risk)

- 자산 (Asset) : 가치를 지닌 모든 것 ex) 유형 자산(부동산, 금품), 무형 자산(Brand, 지적 재산, 평판, 기업 이미지, 고객 신뢰도 등)

- 위협 (Threat) : 외부, 내부로부터 발생하는 자산에 대해 침해하는 것 ex) 재해 (호우, 화재, 태풍 등), 사고, 악성코드, 악의적 의도, 사람 등

- 위험 (Risk) : 자산이 위협으로부터 손실을 일으킬 가능성 ex) 높다/낮다, 있다/없다

 

여러 사람이 계정 1개를 공유하게되면... - 누가 실수 또는 행위를 했는지 알 수 없음 (책임소재 불분명)

 

Google OTP 사용시 주의사항

- 휴대폰 App으로 설치하는 경우, 휴대폰을 분실하거나 새 휴대폰으로 바꾸는 경우 로그인이 불가능해집니다.

 

사용자 생성시 유의사항

ex) DB 관리자가 5명인 경우

RDS_admin_01, RDS_admin_02, RDS_admin_03, ... (IT 관리 지침)ex) 서버가 100대가 있는 경우001, 002, 003 ~ ... 100 (X)최소한 7~8자리 이상으로 부여해야 관리 가능 (교체, 신규 등에 번호를 다시 매기지 않도록 설정)

 

aws Redshift

데이터 웨어하우스 서비스를 aws Cloud에서 제공

데이터 웨어하우스는 DB를 통합 관리 > 대기업에서 많이 사용

데이터 웨어하우스에는 여러 부서의 정보들이 취합 > 경영진의 의사 결정이 가능해짐 ex) 신차 투입 시기, 스마트폰 투입 시기 등

 

KMS (Key Management Service) : 암호화 키를 관리하는 서비스 ex) key.pem TML 서버용 공개키 등

 

Secret Manager  : 비밀번호를 관리하는 서비스 ex) DB PW

 

SSH Key의 인바운드 설정

111.20.30.7/32 > IP 전체(4 Otect)를 확인 > 나만 접속 가능 (IP가 바뀌면 접속 불가)

111.20.30.0/24로 설정하는 것이 좋음 > 우리 부서에서 접속 가능

 

Security Group

- 모두 거부

- 허용만 설정

- 시스템 방화벽 ex) EC2, RDS 등

 

NACL (Network Access Control List)

- 번호가 주어져 있음

- 허용과 거부가 모두 있음

- 가장 아래쪽에는 모두 거부가 배치

- 번호가 작을 수록 우선순위가 높음

- 번호를 100 단위로 작성 > 나중에 중간에 끼워 넣기 위해

- 방화벽 Rule-Set 작성 규칙과 동일

- 네트워크 방화벽 ex) VPC, Subnet 등

 

감사 (Audit)

- 통제 (Control) : 위험 (Risk)을 줄이기 위해 사용하는 것

- 감사 (Audit) : 통제가 적절한 지 확인하는 것

 

위험 < 통제 < 감사

 

감사를 하기 위해서 기록을 확인 < 로그 조회

 

예시 코드

cat auth.log | awk '{print $1, $6}' | sort | sort -rn | head -10

로그에는 육하원칙 (5W, 1H) 중, Why를 제외하고 다섯 가지가 포함됩니다.

- 언제(When), 누가(Who), 어디서(Where), 무엇을(What), 어떻게(How) 했다는 내용이 포함되어 있습니다.

 

감사는 증적(Trail, 추적 가능한 증거 = 로그)을 중요하게 생각

- aws CloudTrail (감사를 위한 서비스) > 누가(Who) 했는지를 알아내는 것이 목적

 

보안 가이드 감사 실습

보안 가이드 예시

: 항목에 맞게 정상, 미흡, 결함의 여부를 따지며 작성

작성 예시