Amazon Web Services 한국 블로그

Amazon Inspector 업데이트 – 클라우드 워크로드 자동화 취약성 관리

Amazon Inspector는 규모에 관계없이 모든 조직에서 대규모 보안 평가 및 관리를 자동화하기 위해 사용하는 서비스입니다. Amazon Inspector는 의도하지 않은 네트워크 노출, 소프트웨어 취약성 및 애플리케이션 보안 모범 사례 위반이 있는지 검사하여 조직이 AWS에 배포된 워크로드에 대한 보안 및 규정 준수 요구 사항을 충족하도록 돕습니다.

2015년에 Amazon Inspector가 최초 출시된 이후, 클라우드 고객에 대한 취약성 관리가 크게 변경되었습니다. 지난 6년 동안 평가 보고, 프록시 환경 지원, Amazon CloudWatch 지표와의 통합 등 고객이 요청한 몇 가지 새로운 기능을 제공했습니다. 그러나 팀은 규모에 따른 마찰 없는 배포, 평가가 필요한 확장된 리소스 유형 지원, 빠른 속도로 탐지 및 해결해야 하는 중요한 요구 사항 등 충족해야 할 새로운 요구 사항이 있음을 인식했습니다. 오늘 이러한 요구 사항을 충족할 수 있는 새로운 Amazon Inspector를 발표하게 되어 기쁩니다. 새로운 기능은 다음과 같습니다.

  • 지속적이고 자동화된 평가 스캔 – 주기적인 수동 스캔을 대체합니다.
  • 자동화된 리소스 검색 – 활성화되면 새로운 Amazon Inspector가 실행 중인 모든 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 및 Amazon Elastic Container Registry 리포지토리를 자동으로 검색합니다.
  • 컨테이너 기반 워크로드에 대한 새로운 지원 – 이제 워크로드가 EC2와 컨테이너 인프라 모두에서 평가됩니다.
  • AWS Organizations와의 통합 – 보안 및 규정 준수 팀이 조직의 모든 계정에서 Amazon Inspector를 활성화하고 활용할 수 있습니다.
  • 독립형 Amazon Inspector 스캐닝 에이전트 제거 – 이제 평가 스캔이 널리 배포된 AWS Systems Manager Agent를 사용하므로 별도의 에이전트 설치가 필요하지 않습니다.
  • 위험 점수 개선 – 이제 공통 취약성 및 노출(CVE) 메타데이터를 네트워크 접근성과 같은 리소스의 환경 요인과 상호 연관시켜 각 결과에 대해 고도로 컨텍스트화된 위험 점수가 생성됩니다. 이를 통해 우선 순위로 해결할 가장 중요한 취약성을 더 쉽게 식별할 수 있습니다.
  • Amazon EventBridge와의 통합 – Splunk 및 Jira와 같은 이벤트 관리 및 워크플로 시스템과 통합됩니다. 또한 Systems Manager를 사용한 시스템 패치 적용 또는 EC2 Image Builder를 사용한 가상 머신 이미지 재구축 등 자동화된 문제 해결을 트리거할 수 있습니다.
  • AWS Security Hub와의 통합 – 팀이 보안 모범 사례에서 벗어나거나 심각한 취약성이 있는 리소스를 보다 쉽게 식별할 수 있도록 지원합니다.

Amazon Inspector로 워크로드 자동 평가
취약성은 수만 개가 존재하며, 정기적으로 새로운 취약성이 발견 및 공개됩니다. 이러한 위협이 지속적으로 증가함에 따라 수동 평가는 고객이 노출을 인식하지 못하게 하여 평가 사이에 잠재적으로 취약해질 수 있습니다. 또한 애플리케이션 리소스 인벤토리 관리를 수동으로 처리하고, 해당 리소스에 독립 실행형 보안 에이전트를 배포하며 정기 평가 일정을 수립하는 고객은 전체 프로세스에서 비용과 시간이 많이 소요될 수 있습니다. 그리고는 대량의 평가 결과를 조사해서 해결해야 할 가장 중요한 문제를 걸러내야 합니다.

새로운 Amazon Inspector를 사용하는 경우, 서비스를 활성화하기만 하면 됩니다. 기본 리소스가 변경되더라도 EC2 및 Amazon Elastic Container Registry 기반 컨테이너 워크로드를 자동으로 검색하고 지속적으로 평가하여 보안 태세를 평가합니다.

EC2 인스턴스는 인스턴스 관리, 자동 패치 적용 등을 위해 AWS에서 제공하는 이미지에 기본적으로 포함되어 있는 Systems Manager Agent를 사용하여 외부 네트워크 및 소프트웨어 취약성에 대한 의도치 않은 노출 여부를 발견하고 평가합니다. 컨테이너 기반 워크로드는 이미지가 Amazon Elastic Container Registry에 푸시될 때 평가됩니다. 추가 소프트웨어나 에이전트 없이 컨테이너 이미지와 EC2 인스턴스는 이벤트가 발생할 때 거의 실시간으로 평가됩니다.

자동화된 평가는 워크로드 구성의 변경과 새로 게시된 취약성을 기반으로 하여 리소스가 필요할 때만 평가되도록 합니다. 새로운 Amazon Inspector는 CVE, 미정부 취약성 데이터베이스(NVD) 및 MITRE 등 50개 이상의 취약성 인텔리전스 소스에서 이벤트를 수집합니다. 새로 식별된 항목의 영향을 받을 수 있는 이미지(예: 새 CVE 알림)는 자동으로 다시 스캔됩니다. 이미지 재스캔은 레지스트리에 푸시된 날짜로부터 30일 동안 활성화됩니다. 이미지 푸시 시에만 스캔하고 이후에 다시 스캔을 수행하지 않는 옵션을 활성화할 수도 있습니다.

Amazon Inspector 요약 페이지

대시보드 페이지에서 계정, 인스턴스 또는 리포지토리를 선택하면 선택한 리소스에 대한 세부 정보 요약으로 이동합니다. 아래에 표시된 것은 몇 개의 계정에서 EC2 인스턴스에 대한 요약 데이터입니다.

계정 전체로부터 Amazon Inspector가 스캔한 인스턴스 보기

취약성이 발견되면 보고서에서 실행 가능한 평가 결과를 받게 됩니다. 오늘부터 이러한 결과는 개선된 위험 점수 및 개선된 리소스 세부 정보로 요약되어 해결해야 할 가장 위험에 처한 리소스의 우선 순위를 정하는 데 도움이 됩니다. 또한 새로운 기능인 Amazon Inspector 콘솔이 개선에 대한 모든 발견과 권장 사항을 표시하도록 재설계되었습니다.

컨테이너 이미지의 취약성도 Amazon Elastic Container Registry에 전송되어 소유자를 위해 요약됩니다. 앞서 언급했듯이 AWS Security Hub 및 Amazon EventBridge와의 새로운 통합을 통해 분석 결과를 다운스트림으로 전송하여 자동화된 워크플로를 통해 가시성과 문제 해결을 강화할 수 있습니다. 예를 들어 인스턴스 격리, 시스템 패치 적용 트리거, 소프트웨어 이미지 재구축 등을 위한 자동화를 생성할 수 있습니다. 여러 통합 지점을 사용할 수 있으므로 보안 및 애플리케이션 팀이 보다 쉽게 협업하여 문제 해결을 관리할 수 있습니다. 아래에 표시된 것은 AWS Security Hub 콘솔에서 Amazon Inspector의 결과물입니다.

Security Hub 콘솔에서 Amazon Inspector 결과 보기

수십만 개 이상의 평가 결과가 산출될 수 있으므로 조치를 취해야 하는 가장 중요한 결과를 결정하기 위해 평가 결과를 필터링 및 선별해야 합니다. 또한 오늘부터 조직은 수용 가능한 것으로 간주되는 결과를 결정하고 이러한 결과가 일시적 또는 영구적으로 표시되지 않도록 마크를 지정할 수 있습니다. 이를 통해 알림의 양을 줄여 우선 순위 지정 및 문제 해결 자동화를 개선합니다. 억제 필터는 여러 화면에서 설정할 수 있습니다. 규칙은 필터와 일치하는 결과가 표시되지 않도록 제거하는 하나 이상의 필터(예: 심각도(Severity))를 지정합니다. 규칙을 정의할 때, 표시되지 않을 결과의 목록이 표시되므로 특정 요구 사항에 맞게 필터 값을 미세 조정할 수 있습니다.

Amazon Inspector 결과에 대한 억제 규칙 설정

앞에서 새로운 Amazon Inspector가 컨텍스트화된 위험 평가 점수를 구현한다고 말씀드렸습니다. 아래 스크린샷은 일반적인 공통 취약성 평가 시스템(CVSS) 점수와 비교하여 Amazon Inspector의 위험 평가 점수의 예를 보여줍니다. 컨텍스트화된 위험 평가는 인터넷 접근성 및 악용 용이성과 같은 추가 요소를 고려하여 점수를 더 의미 있게 만듭니다. 아래 이미지에서 Amazon Inspector의 위험 평가 점수는 CVSS 점수보다 낮습니다. 공격 벡터에는 네트워크 액세스가 필요하기 때문입니다. Amazon Inspector는 GNOME Glib에서 식별된 취약성을 악용하기 어렵다는 것을 알고 있습니다. 이 리소스에는 네트워크 액세스가 없으므로 위험 점수를 낮췄기 때문입니다.

위험 평가 점수

지금 Amazon Inspector의 무료 평가판 시작
새로운 Amazon Inspector는 미국 동부(오하이오), 미국 동부(버지니아 북부), 미국 서부(오레곤), 아시아 태평양(홍콩), 아시아 태평양(뭄바이), 아시아 태평양(서울), 아시아 태평양(싱가포르), 아시아 태평양(시드니), 아시아 태평양(도쿄), 캐나다(중부), 유럽(프랑크푸르트), 유럽(아일랜드), 유럽(런던), 유럽(밀라노), 유럽(파리), 유럽(스톡홀름), 중동(바레인) 및 남아메리카(상파울루) 리전에서 제공됩니다.

Amazon Inspector는 15일 무료 평가판을 제공하므로 보안 및 규정 준수 팀이 리소스 인벤토리 관리, 독립 실행형 보안 에이전트 및 반복적인 수동 평가와 관련된 운영 복잡성과 비용을 줄이는 데 Amazon Inspector가 어떤 도움을 줄 수 있는지 확인할 수 있습니다.

— Steve