반응형
- AWS WAF
- AWS Workload 에서 Layer 7 의 웹 어플리케이션을 보호하고 HTTP/HTTPS 트래픽을 모니터링하고 차단하는 역할을 수행
- AWS WAF 는 외부에서 수신되는 트래픽 기준으로 Inspection 수행
- AWS WAF 구현 순서 권고안
- 적용할 WAF 의 대응 룰셋 이해와 대처 방안
- WAF 요구사항
- WAF 구현
- WAF 룰 배포
- 비용 검토
- 평판 정보를 이용한 차단 적용
- Spamhaus 평판정보 IP 차단 - https://www.spamhaus.org/drop/ DROP / EDROP 목록 추가
- Tor Node 평판정보 IP 차단 - https://check.torproject.org/exit-addresses 추가
- Proofpoint 평판정보 IP 차단 - https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt Emerging Threats IP List 차단
- On-Prem Deny List 차단
- Automation Remediation
- AWS WAF Security Automation
- https://aws.amazon.com/ko/solutions/implementations/aws-waf-security-automations/
- 로그분석이나 허니팟 URL 을 통해서 감지된 위협에 대해 자동으로 규칙을 업데이트 하고 악성 IP 주소를 차단
- CloudFront / Application Load Balancer / API Gateway 적용 가능
- AWS WAF Security Automation
- WAF 적용 Requirement
- 보호 - 기준을 정의하여야 하며, OWASP Top 10 적용, 기존의 룰셋을 확인하여 탐지/차단 적용
- 관리형 규칙과 사용자 규칙 - AWS Managed / Amazon IP 평판 목록으로 시작하여 규칙 그룹 차단 적용 권장
- 거버넌스 - WAF 를 구현하고 관리하고 모니터링 해야 하는 요구 사항 정의 단계로, WAF 를 관리하고 자원에 대한 적절한 구현이 되었는지 감사하고 설정을 강제할 수 있어야 하며, WAF 를 어플리케이션에 적용하고 규칙을 배포할수있도록 검토해야 함. AWS Organization 구조에서 AWS Firewall Manager 를 이용해서 WAF Rule 을 자동으로 배포하고 보안정책을 관리하는 기능을 제공하므로 이를 통하여 중앙통제 및 가시성을 확보하는것을 권장
- 로그 기록 - 규정 준수 및 감사를 위해 보안팀에게 필요한 공통 요구 사항이며 Amazon Kinesis Data Firehose 를 통해 준 실시간 로그를 저장함.
로그는 디버그 용도로 활용하거나, 보안정보 및 SIEM 혹은 다른 로그 분석 도구와 통합하여 Forensic 에 활용될 수 있으나, 기본적으로 로그 설정은 활성화 되어 있지 않음.
https://aws.amazon.com/ko/blogs/security/enable-automatic-logging-of-web-acls-by-using-aws-config/ - 이를 통하여 자동화된 AWS Config 를 이용하여 WAF ACL 생성될 때마다 로그 설정을 하도록 Automation 을 수행할 수 있음
-
-
- AWS 로그를 바탕으로 AWS Managed Service를 사용하여 자체 대시보드를 구축하여 가시성을 확보할 수 있으며 다음과 같습니다.
https://aws.amazon.com/ko/blogs/security/how-to-analyze-aws-waf-logs-using-amazon-elasticsearch-service/ - Splunk, DataDoc, SumoLogic, QRader 등을 이용하여 로깅을 연동할 수 있음
- AWS 로그를 바탕으로 AWS Managed Service를 사용하여 자체 대시보드를 구축하여 가시성을 확보할 수 있으며 다음과 같습니다.
-
- Test & Tunning
- 오탐
- 오탐은 주로 보증팀/ 보안팀에서 어플리케이션 코드나 WAF 설정의 변경 후 테스트 과정에서 주로 확인
- CloudWatch 에서 선택된 WAF 규칙에 알람을 설정 후 임계점 이상으로 규칙이이 트리거 되면 알림을 받도록 설정
- WAF Log 를 활성화 하여 차단된 트래픽 기준을 설정하고 위협의 패턴과 차단된 트래픽의 비정상 상태를 확인
- WAF Log 를 통해 생성된 로그를 확인하여 차단된 요청 중 URL, IP, TimeStamp 별로 필터링하고, 응답 헤더와 body에 Request ID 를 포함하여 응답한뒤 로그에서 해당기록을 찾아서 디버깅 수행
- 오탐
Amazon AWS S3 REST API protocol configuration options
The Amazon AWS S3 REST API protocol is an outbound/active protocol that collects AWS CloudTrail logs from Amazon S3 buckets. Note: It's important to ensure that no data is missing when you collect logs from Amazon S3 to use with a custom DSM or other unsup
www.ibm.com
- 우선 순위 정의 - 차단 정책과 허용 규칙이 정의되면 상단부터 차단되어야할 정책을 나열하고 탐지되어야할 정책을 하단으로 구성하여 낮은 순위에 대한 위험을 감소시켜서 적용
-
- Tunning
- 운영 배포이후 정기적으로 검토하고 모니터링 하는 것을 권고
- AWS WAF Log를 기반으로 대쉬보드화하여 검토하고 서드파티나 SIEM 을 통하여 패턴과 행동의 변화를 분석함
- 모니터링 기간을 2 Weeks ~ 1 Month 를 기준으로 수행하고 차단되어야 할 정책과 탐지 정책을 구분하여 운영
- Tunning
반응형
'고기 대신 SW 한점 > Public Cloud' 카테고리의 다른 글
| [AWS] Amazon EKS Version-1 (0) | 2022.12.22 |
|---|---|
| [AWS] InfraStructure -Amazon GuardDuty 설정하기 (0) | 2022.11.24 |
| [AWS] Monitoring Architecture - OpenSearch (0) | 2022.11.16 |
| Amazon EKS Version (0) | 2022.11.09 |
| [CORS] AWS API GW Setting하여 CORS 문제 해결하기 (2) | 2022.10.11 |