re:Invent 2023 Recap - I. 네트워크 & 보안

네트워크 & 보안 총평

• 네트워크 신규 서비스 런칭은 없었고 미미한 기능 업데이트만 있었다

네트워크

ALB

• Mutual Authentication
• TLS 구성 시 서버 인증서 기반으로 인증한다 (전통적 TLS 방식)
• 이 기능은 서버, 클라이언트 상호 인증 지원
• 신뢰할 수 있는 클라이언트만 백엔드 애플리케이션 통신 가능하도록 클라이언트 인증 제공

ALB Automatic Target Weight

• 자동 목표 가중치를 지원함
• Alb 뒷단에 backend server 위치함
• 상태 점검을 통과하더라도 5xx 연결 오류가 발생한 대상에 대해 트래픽을 줄임
  • 100 개 처리 하는 서버가 10개로 성능이 떨어지면 자동 감지해서 트래픽을 보내지 않음
• 기능 세팅하면 헬스체크 결과가지고만 체크했는데, ATW 이용하면
• 추가 비용 발생 안함

 

보안

IAM Access Analyzer

• 자동으로 기존 정책을 확인해 주는 정책
• 스케일링을 돌리면 사용하지 않는 권한들을 보여줌 (그래프 형태)
• 어느 계정에서 어느 권한을 300일 동안 사용 안함
• 전체적 보안 / 권한을 줄여나가는
• 많은 권한 주는것을 방지 할수 있는 권한

IAM Identity Center and AWS Analytics

• 분석 서비스 (Analytics) 하나의 IAM 만들면 sso 으로 퀵사이트, emr, s3 redshift 통합적으로 이용 가능

Security Hub

• 전체적인 이벤트나 보안분야 통합적으로 관리한다
• 시각화가제공 안되어 이전에는 태블루나 퀵사이트 이용했어야 했지만, 허브 내에서 시각화 가능함
• 취약점 필터링, 시각화 가능
• 여러 조직 이용시 계정 / 리전 / 조직 단위로 보안 컨트롤 가능 (횡단적으로 보안 커버리지)
• 새로운 finding 이슈 결과
  • 메타데이터 기능 강화
  • 보안 이벤트 시 (finding) 확인가능한 메타 데이터 한정적이었음
  • 메타 데이터가 시큐리티 허브에서 좀더 세밀하게 볼수 있음
  • 우선순위 설정 하여 빠르게 조치
  • 특정 어플리케이션 관해 이벤트 로그 수집하여 통합적으로 분석 가능 

AWS Guardduty

• EKS(기존 출시), ECS 런타임(신규 출시) 위협 감지
• 프리뷰 모드
• 한국 내년 출시 예상
• Ec2 타겟 지정하여 런타임 오류 확인 가능 

AWS Secrets Manager

• 한번 호출로 여러명의 시크릿 정보 리턴 가능함

Amazon Inspector

• 취약점 점검
• GenAI 붙여서 취약점 점검 시행
• 정보 + 개선 정보까지 제공함
• ssm 에이전트 설치 안한 Ec2 인스턴스도 모니터링 가능
• AMI 이미지에 대한 라이브러리 업데이트

 Amazon Inspector Container Assessment

• CI/CD 통합
  • 젠킨스 부터 업데이트 (다른것은 순자적으로)
    • 플러그인에서 Amazon Inspector 찾을수 있음
  • 배포 과정에서 자동으로 취약점 검사 기능
  • 컨테이너의 취약점이 무엇이 있는지

 Amazon Detective

• 탐지 / 사후 방지 서비스 등
• 사후 설치에 컨셉을 맞춘 서비스임
• 신규 업데이트 기능 :
  • Security Lake에 저장된 로그를 쿼리하고 검색함
  • 그래프 + 디테일한 정보 제공
  • Ecs 런타임 모니터링 강화됨
  • GenAI 사용하여 이슈 요약 및 분류함
  • IAM 사용자 및 역할을 자동 분석
  • MITRE ATT&AK 프레임워크의 알려진 전술, 기술 및 절차에 참여한 사용자 또는 역할을 식별함
  • 무료 평가판 포함

AWS Config

• 전체 추적, 위반사항 관리하는 서비스이나
• 기존에는 위반사항을 다 기록하였음
• 최근 것만 기록하는것으로 바뀌어 비용 줄일수 있고, 변경 일수도 감지 가능함
• 중요한 워크로드는 아니지만 기록은 필요할경우 - 인터벌 지정하여 최근 것만 기록