AWS 계정 안전하게 지키기 Tip

1. MFA on Root account

슈퍼 권한이 있는 Root Account는 비밀번호는 특히 중요합니다. 사고로 비밀번호가 노출 되더라도 MFA 를 설정해 놓으면 로그인 시 MFA 장치가 없는 경우 최종 로그인이 실패하기 때문에 더 안전하게 AWS 계정을 지킬 수 있습니다.

간혹, 다른 사이트에서 사용하는 계정의 비밀번호와, Root Account의 비밀번호가 동일하게 이용하시다가, 다른 사이트 사용자 계정의 비밀번호가 노출되어 Root Account가 침해되는 사례가 있었습니다.

멀티 팩터 인증(MFA)을 통해 AWS 계정을 안전하게 관리하기 동영상도 참고하실 수 있습니다.

Action Plan - Protect the Root User 구성 가이드 https://catalog.workshops.aws/startup-security-baseline/en-US/b-securing-your-account/2-protect-root-user
10분안에 정복하는 안전한 계정 관리를 위한 IAM 모범 사례 https://www.youtube.com/watch?v=pDg7qxQMNFo

2. Amazon S3 Bucket Permissions

공개 액세스 권한이 있거나, Any Authenticated AWS User 에 대한 액세스를 허용하는 S3 버킷을 확인합니다.

공개 액세스 접근으로 노출된 S3는 IAM > Access Analyzer 메뉴에서 확인하시기 바랍니다. 의도되지 않은 경우 권한을 제한 하는 것을 권장합니다.

관리자 권한을 가지고 있지 않은 경우, S3 Bucket 생성, 삭제, 설정 변경 권한을 제한하시기 바랍니다.

Action Plan - Prevent Public Access to Private S3 Buckets 구성 가이드https://catalog.workshops.aws/startup-security-baseline/en-US/b-securing-your-account/6-block-public-access-s3
Action Plan - 공개 액세스 접근으로 노출된 S3 버킷 확인https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-analyzer.html

3. Security Groups - Specific Ports Unrestricted

필요한 IP 주소로만 액세스를 제한하시기 바랍니다.

더 제한적인 규칙을 만든 후에는 지나치게 허용되는 규칙을 삭제해야 합니다. 예를 들어 SSH 액세스 허용을 위한 22 Port라던가, MySQL 3306 Port등은 불특정 다수 (0.0.0.0/0) 에 규칙은 실제 접근이 필요한 IP만 구별하여 설정하시고, 해당 설정은 삭제하시기 바랍니다.

4. CloudTrail

감사 목적으로 Trail 정보를 S3에 저장합니다.

Action Plan - Turn CloudTrail On 구성가이드 https://catalog.workshops.aws/startup-security-baseline/en-US/b-securing-your-account/5-turncloudtrail-on

5. IAM Password Policy

IAM User의 비밀번호 복잡도를 설정하여, 강력한 비밀번호로 설정할 수 있도록 강제화 할 수 있습니다.

Action Plan - Set a password policy to ensure strong passwords 구성가이드 https://catalog.workshops.aws/startup-security-baseline/en-US/b-securing-your-account/3-create-multiple-users/2-2-create-iam-users#set-a-password-policy-to-ensure-strong-passwords

6. IAM Access key rotation

최근 보안 사고는 해커가 AWA Account 탈취한 후, 몇 개월 동안 꾸준하게 고객의 정보를 수집하여 다각도로 피해를 주는 사례들이 늘어나고 있습니다. 이러한 해킹 사고는 일단 AWS Account가 침해 되더라도 고객이 이를 인지하지 못하는 경우가 있습니다. 주기적 비밀번호 변경 이외에도, IAM Access Key를 주기적으로 만료하고 새로 생성하여 사용하는 것을 권장합니다. 관리가 소홀하여 해당 Access Key와 Secret Access Key가 노출 되었다 하더라도 이러한 관리로 이 키 관련 정보를 무효화할 수 있습니다.

AWS Config를 활용한 Access Key 자동 교환 구성하기 https://aws.amazon.com/blogs/mt/managing-aged-access-keys-through-aws-config-remediations/
AWS Credential Report 로 AWS Account에서 발행한 전체 Access Key 상태 확인하는 방법 https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html

7. ELB Listener security

ELB 에서는 하위 호환성을 위해서 보안에 상대적으로 취약한 암호 또는 프로토콜 기능을 사용할 수 있습니다. ELB는 다양한 수준의 보안 구성을 할 수 있으니 보다 안전한 리스너로 구성하여 보안 사고를 방지하시기 바랍니다.

8. Amazon RDS Security Group Access Risk

보안 그룹 규칙을 검토하고 승인된 IP 주소 또는 IP 범위에 대한 액세스를 제한해야 합니다.

9. 사용 비용 관련 알람 설정

Startup의 경우 관리되지 않은 AWS 계정 침해로 인한 과도한 리소스 사용으로 피해 보고가 되고 있습니다. EC2 Instance Type에 따라서도 아래와 같이 비용차이가 많이 발생합니다. 일정 금액 이상 사용 중인 경우, 과도한 리소스 사용의 원인을 파악하기 위해서 알람 설정하시는 것을 권장합니다.