Amazon EC2 인스턴스에 대한 GuardDuty 결과 유형 알림 Recon:EC2/PortProbeUnprotectedPort가 수신된 이유는 무엇입니까?
최종 업데이트 날짜: 2020년 3월 2일
Amazon GuardDuty는 Amazon Elastic Compute Cloud(Amazon EC2)의 Recon:EC2/PortProbeUnprotectedPort 결과 유형에 대한 알림을 감지했습니다.
간략한 설명
GuardDuty 결과 유형 Recon:EC2/PortProbeUnprotectedPort는 Amazon EC2 인스턴스에 알려진 악성 호스트에서 탐색하고 있는 보호되지 않는 포트가 있음을 의미합니다.
해결 방법
다음 모범 사례를 사용하여 보호되지 않는 포트를 보호하거나 인바운드 규칙을 제거합니다.
- 지침에 따라 GuardDuty 결과를 보고 분석합니다.
- 결과 세부 정보 창에서 포트 번호를 기록해 둡니다.
- Linux의 경우 보호되지 않는 포트가 22이면 Linux 인스턴스에 대한 인바운드 트래픽 승인 지침에 따라 액세스를 제한할 수 있습니다.
- Windows의 경우 보호되지 않는 포트가 3389이면 Windows 인스턴스에 대한 인바운드 트래픽 승인 지침에 따라 액세스를 제한할 수 있습니다.
- 보호되지 않는 포트가 80 또는 443이고 이러한 포트를 열어 두어야 하는 경우 EC2 인스턴스를 로드 밸런서 뒤에 둘 수 있습니다.
- 포트에 실행 중인 애플리케이션이 없고 열어둘 필요가 없는 경우 EC2 인스턴스 보안 그룹 및 iptables 규칙에 대한 인바운드 규칙을 제거할 수 있습니다.
- 보호되지 않는 포트를 보호할 필요가 없는 경우 Recon:EC2/PortProbeUnprotectedPort 결과 유형을 무시해도 됩니다.