개요
Automations for AWS Firewall Manager를 구현하면 AWS Organizations의 모든 계정 및 리소스에 대한 방화벽 규칙을 중앙에서 자동화된 방식으로 구성, 관리 및 감사할 수 있습니다. 이 AWS 솔루션을 사용하면 조직 전체에서 일관된 보안 태세를 유지할 수 있습니다.
이 솔루션에는 AWS WAF에 대한 애플리케이션 수준 방화벽을 구성하고, Amazon Virtual Private Cloud(Amazon VPC) 보안 그룹의 미사용 및 과다 권한에 대한 감사를 시행하며, DNS 방화벽을 설정하여 잘못된 도메인에 대한 쿼리를 차단하는 규칙이 사전 설정되어 있습니다.
이 솔루션은 선택적으로 빠른 방화벽 보안 규칙 기준을 생성하고 AWS Shield Advanced와의 통합을 통해 분산 서비스 거부(DDoS) 공격으로부터 보호하는 데 도움이 됩니다. 또한 이 기능을 사용하여 선제적 이벤트 대응 및 상태 기반 탐지를 자동화할 수 있습니다.
참고: 조직에서 이미 Firewall Manager를 사용하고 있는 경우 이 솔루션을 사용할 수 있지만 Firewall Manager 관리자 계정에 이 솔루션을 설치해야 합니다. 아직 Firewall Manager를 설정하지 않은 경우 구현 가이드에서 설정 단계를 참조하세요.
이점
다중 계정 AWS 환경에서 AWS Firewall Manager를 사용하여 AWS WAF, DNS 및 보안 그룹 규칙을 손쉽게 구성하고 감사할 수 있습니다.
이 솔루션을 활용하여 Firewall Manager를 사용하는 데 필요한 사전 요구 사항을 설치할 수 있으므로 특정 보안 요구 사항에 더 많은 시간을 할애할 수 있습니다.
AWS Shield Advanced 구독을 활용하여 AWS Organizations의 계정 전체에 DDoS 차단 기능을 배포하고, 상태 확인을 설정하고, Shield 대응 팀의 선제적 이벤트 대응을 활성화할 수 있습니다.
기술 세부 정보
구현 가이드 및 함께 제공되는 AWS CloudFormation 템플릿을 사용하여 이 아키텍처를 자동으로 배포할 수 있습니다.
이 솔루션에는 기본 스택과 Shield Advanced 기능이 있는 선택적 스택을 보여주는 두 가지 아키텍처가 포함되어 있습니다. 기본 파라미터를 사용하여 이 솔루션의 스택을 모두 배포하면 AWS 계정에 다음 구성 요소가 배포됩니다.
-
기본 스택
-
Shield Advanced 자동화 기능이 포함된 옵션 스택
-
기본 스택
-
1단계: 정책 관리자
AWS Systems Manager의 기능인 Parameter Store에 /FMS/OUs, /FMS/Regions, /FMS/Tags라는 파라미터 세 개가 포함되어 있습니다. Systems Manager를 사용하여 이러한 파라미터를 업데이트할 수 있습니다.
2단계
Amazon EventBridge 규칙은 이벤트 패턴을 사용하여 System Manager 파라미터 업데이트 이벤트를 캡처합니다.3단계
EventBridge 규칙에 의해 AWS Lambda 함수가 간접적으로 호출됩니다.4단계
Lambda 함수는 사전 정의된 AWS Firewall Manager 보안 정책 세트를 사용자가 지정한 OU에 설치합니다. 또한 AWS Shield를 구독하는 경우 DDoS 공격을 차단하는 Advanced 정책이 이 솔루션을 통해 배포됩니다.
5단계
PolicyManager Lambda 함수는 Amazon Simple Storage Service(Amazon S3) 버킷에서 정책 매니페스트 파일을 가져오고 해당 매니페스트 파일을 사용하여 Firewall Manager 보안 정책을 생성합니다.6단계: 규정 준수 보고서 생성기
Lambda는 정책 메타데이터를 Amazon DynamoDB 테이블에 저장합니다.7단계
시간 기반 EventBridge 규칙에 의해 Compliance Generator Lambda 함수가 간접적으로 호출됩니다.8단계
Compliance Generator Lambda가 각 리전에서 Firewall Manager 정책을 가져오고 정책 ID 목록을 Amazon Simple Notification Service(Amazon SNS) 주제에 게시합니다.9단계
해당 Amazon SNS 주제는 페이로드 {PolicyId: string, Region: string}을 사용하여 Compliance Generator Lambda 함수를 간접적으로 호출합니다.10단계
ComplianceGenerator Lambda 함수가 각 정책에 대한 규정 준수 보고서를 생성하고 이 보고서를 CSV 형식으로 S3 버킷에 업로드합니다. -
Shield Advanced 자동화 기능이 포함된 옵션 스택
-
1단계: 정책 관리자
(선택 사항) aws-fms-automations 템플릿에서 생성한 Parameter Store 파라미터를 원하는 값으로 업데이트합니다. /FMS/OUs, /FMS/Regions, /FMS/Tags와 같은 파라미터가 생성됩니다.
2단계
EventBridge 규칙은 이벤트 패턴을 사용하여 System Manager 파라미터 업데이트 및 S3 업로드 이벤트를 캡처합니다.
3단계
EventBridge 규칙에 의해 Lambda 함수가 간접적으로 호출됩니다.
4단계
Lambda 함수는 사전 정의된 Firewall Manager 보안 정책 세트를 사용자가 지정한 OU에 설치합니다. 또한 Shield를 구독하는 경우 DDoS 공격을 차단하는 Advanced 정책이 이 솔루션을 통해 배포됩니다.5단계
PolicyManager Lambda 함수는 S3 버킷에서 정책 매니페스트 파일을 가져오고 해당 매니페스트 파일을 사용하여 Firewall Manager 보안 정책을 생성합니다.
6단계: 자동화된 상태 기반 탐지
조직의 AWS Config 규칙은 AWS 조직 전체의 기존 Shield Advanced 보호를 캡처합니다. 이러한 Shield Advanced 보호 기능은 이 솔루션에서 배포한 Firewall Manager 보안 정책을 통해 자동으로 생성하거나 Shield 콘솔을 사용하여 수동으로 생성할 수 있습니다.
7단계
조직의 Config 규칙에 의해 캡처된 Shield Advanced 보호는 평가를 위해 ConfigRuleEval Lambda 함수로 전송됩니다. 이 Lambda 함수는 보호에 Amazon Route 53 상태 확인이 연결되어 있는지 여부를 결정합니다.
8단계
Shield Advanced 보호와 연결된 Route 53 상태 확인이 없는 경우 솔루션은 보호를 위한 상태 확인을 생성하도록 요청하는 메시지를 Amazon SQS 대기열에 게시합니다.9단계
ConfigRuleRemediate Lambda 함수가 Amazon SQS 대기열에서 메시지를 읽습니다.10단계
ConfigRuleRemediate Lambda 함수가 Shield Advanced 보호가 보호하는 리소스 유형을 기반으로 계산된 Route 53 상태 확인을 생성합니다.11단계
ConfigRuleRemediate Lambda 함수가 10단계에서 생성한 Route 53 상태 확인을 평가 중인 Shield Advanced 보호와 연결합니다.
관련 콘텐츠
이 과정에서는 AWS 보안 기술, 사용 사례, 이점 및 서비스에 대한 개요를 제공합니다. 인프라 보호 섹션에서는 트래픽 필터링을 위한 AWS WAF에 대해 다룹니다.
이 과정에서는 여러 AWS 계정에 대한 정책 기반 관리를 제공하는 서비스인 AWS Organizations를 소개합니다. 주요 기능과 용어를 설명하고 서비스 액세스 및 사용 방법을 검토하며 데모를 제공합니다.
이 시험은 AWS 플랫폼 보안과 관련된 기술 전문성을 테스트합니다. 이 시험은 보안 업무에 숙련된 사람을 위한 시험입니다.