VPC 트래픽 미러링을 통해 높은 수준의 네트워크 검사 기능을 구현한 CRED

2021년 9월 8일: Amazon Elasticsearch Service의 명칭이 Amazon OpenSearch Service로 변경되었습니다. 자세히 알아보세요.

게스트 게시물 작성자: Himanshu Das, CRED Security Lead

CRED는 멤버 전용 신용카드 혜택, 리워드 특정, 프리미엄 브랜드에서 제공하는 경험을 통해 고객들이 삶의 질을 업그레이드할 수 있도록 해 줍니다. 신용도가 높은 개인, 가맹점, 기관으로 구성된 높은 신뢰도의 커뮤니티인 CRED는 수백만 명의 신용카드 결제자에게 서비스를 제공하는 기업을 위해 신용카드 경험을 혁신하고 있습니다.

수많은 민감한 거래와 데이터를 처리하는 CRED는 항상 보안을 최우선으로 합니다. 기업은 두 가지 유형으로 나눌 수 있습니다. 하나는 보안을 사후 고려 사항으로 간주하는 기업이고, 다른 하나는 보안을 최우선으로 하는 기업입니다. 그 중간에 해당하는 기업은 없는지 궁금하신가요? CRED는 위의 규칙에는 중간이 있을 수 없다고 믿습니다. 그런 이후로 CRED는 후자 쪽에 속해 있습니다. CRED는 항상 보안을 최우선으로 하는 보안 우선 기업입니다.

“AWS를 사용하면서 인프라의 신뢰성과 가용성을 항상 높은 수준으로 유지할 수 있었을 뿐만 아니라, 각 계층에 항상 보안이 적용되도록 할 수 있었습니다.” ~ Avinash Jain, CRED Security Engineering

AWS VPC 트래픽 미러링: NIDS를 사용하여 퍼블릭 VPC 서브넷에서 네트워크 침입 모니터링

코로나는 모든 사람이 직면한 문제가 되었고, 사람마다 서로 다른 방식으로 영향을 미쳤습니다. 조직에 있어서는 직원들이 재택 근무(WFH)를 해야 하는 상황에 놓이게 되었고, 현재 많은 산업계에서 원격 근무가 일상화됨에 따라 엔터프라이즈 네트워크에 대한 사용자 연결 패턴이 완전히 바뀌었습니다. 대부분의 사용자가 로컬로 연결하는 것이 아니라, 이제 대부분 원격으로 연결하고 있습니다. 또한 직원들이 중요한 비즈니스 기능에 액세스할 수 있도록 지원하기 위해 VPN 연결이 필수 구성 요소가 되었습니다.

전 세계 직원들이 VPN 인스턴스에 연결하고 내부 애플리케이션에 액세스할 수 있도록 하기 위해 VPN 인스턴스가 비무장 지대(DMZ)에서 운영되기 때문에, WFH 연결이 예기치 않게 급증하여 VPN 네트워크가 모든 종류의 레이어 7/레이어 3 공격에 더욱 취약해집니다.

이 블로그 게시물에서는 AWS VPC Traffic Mirroring과 네트워크 침입 탐지 시스템을 사용하여 네트워크 침입의 징후가 될 수 있는 이례적인 트래픽 패턴이나 콘텐츠를 지속적으로 주시하면서, 퍼블릭 VPC에서 운영되는 퍼블릭 VPN 인스턴스의 보안 및 모니터링을 강화한 사례를 살펴보겠습니다.

VPC 트래픽 미러링은 인스턴스 자체에 아무것도 설치하지 않고도 VPC 내 Amazon EC2 인스턴스의 인바운드 및 아웃바운드 트래픽을 복제하는 기능입니다. 이중화된 트래픽을 네트워크 침입 탐지 시스템(NIDS)으로 전송하여, 분석 및 모니터링하도록 하는 것이 기본 개념입니다. 다음은 네트워크 침입 모니터링 아키텍처 다이어그램입니다.

VPN 서버로 들어오는 모든 트래픽은 미러링된 트래픽의 대상 역할을 하는 미러 대상(Network Load Balancer)으로 전송됩니다. VPC 트래픽 미러링은 캡처(수락)하거나 건너뛸(거부) 인바운드 또는 아웃바운드(소스 기준) 트래픽을 지정하는 미러 필터라는 유용한 기능을 제공합니다. 미러 대상에서는 침입 탐지(IDS), 침입 방지(IPS), 네트워크 보안 모니터링 등의 기능을 제공하는 오픈 소스 네트워크 위협 탐지 엔진인 Suricata를 사용하여 이중화된 트래픽을 NIDS 시스템으로 전송합니다. Suricata를 선택한 이유는 심층 패킷 검사 및 패턴 매칭 기능이 매우 뛰어나, 위협 및 공격 탐지에 매우 유용하기 때문입니다. 또한 동일한 하드웨어에서 더 빠른 네트워크를 통해 더 많은 트래픽 볼륨에 대해 더 많은 규칙을 처리할 수 있는 이론적 기능인 멀티스레딩 기능도 제공합니다.

복원력과 가용성을 높이기 위해, Suricata 설정을 사용하여 EC2 인스턴스에 이중화된 트래픽을 전송합니다. 저희는 이런 목적으로 Amazon EC2 T3 인스턴스를 사용합니다. 언제든지 많은 양의 트래픽이 발생할 수 있고 성능과 효율성도 저희가 달성해야 할 중요한 기준임을 알고 있었기에 의도적으로 선택한 것입니다. 기준에 부합하는 CPU 성능과 함께, 언제든지 필요한 시간 동안 CPU 사용량을 버스트할 수 있는 기능을 갖춘 T3 인스턴스는 이 모든 요구 사항을 충족했습니다.

모니터링 및 로깅

Suricata 인스턴스에는 로그 데이터를 전달하고 중앙 집중화하기 위한 간단한 전송 프로그램인 Filebeat 에이전트가 설치되어 있습니다. Suricata가 트래픽을 지속적으로 모니터링하고, Suricata 규칙(/etc/Suricata/rules)에 따라 알림이 트리거되면, Filebeat가 logstash를 통해 JSON 데이터가 처리되는 ELK 스택에 알림 로그를 전송합니다. 저희는 자체적으로 호스팅하는 Amazon OpenSearch Service(Amazon Elasticsearch Service의 후속 서비스)에서 Suricata 모듈을 사용하고 있는데, 이 모듈은 다음과 같은 작업을 수행합니다.

● 모으기 노드를 사용하여 로그 라인을 구문 분석하고 처리함으로써 Kibana에서 시각화하기에 적합한 구조로 데이터를 구성

● 로그 데이터를 시각화하기 위한 대시보드를 배포

Kibana의 좌표 지도 시각화 기능을 사용하여 시스템으로 들어오는 트래픽의 지리적 분포를 모니터링할 수 있습니다. event_type 필드는 Suricata 로그 유형을 나타냅니다. 파이 차트 시각화 기능을 활용하면 시스템에 가장 많이 기록되는 로그 유형을 분류하여 확인할 수 있습니다.

이 이미지에서 보듯이 심각도에 따라 알림을 High(높음), Medium(보통), Low(낮음)으로 분류했습니다. 이벤트 분류는 다음 두 가지 방법을 사용하여 처리됩니다.

1. 첫 번째는 VPC ‘미러 필터’입니다.

2. 두 번째는 Suricata 규칙을 사용하여 프로토콜을 식별하고 이벤트의 이상 현상을 분류하는 것입니다.

지금은 Suricata에서 제공하는 기본 규칙 세트를 사용하고 있습니다. 여기에는 악의적인 IP 평판 검사, 의심스러운 사용자 에이전트, 서명 기반 침입, 정책 위반, 트래픽 이상 등이 포함됩니다. 파이 차트 이미지에 나와 있는 예 중 하나는 Suricata가 네트워크에서 많이 나타나는 몇 가지 활동과 기타 네트워크 이상 현상을 발견한 위치를 보여줍니다. 문제 해결 프로세스에서는 중앙 로깅, 알림 및 의사 결정 프레임워크를 거칩니다. 대시보드를 통한 가시성을 제공하기 위해 아래와 같은 파라미터를 구성했습니다.

o 알림 수

o 상위 10개 서명 알림

o 상위 20개 소스 IP 알림

o 상위 20개 대상 IP 알림

o 알림 심각도

o 알림 타임라인

o 시간 경과에 따른 DNS 이벤트

최종 결과

VPC 트래픽 미러링을 사용하면, AWS VPC 내의 네트워크 트래픽을 훨씬 쉽게 모니터링할 수 있습니다. VPC 트래픽 미러링 덕분에 이제 네트워크 트래픽을 효과적으로 모니터링하고, 트래픽 패턴을 분석하고, 악성 트래픽을 사전에 탐지할 수 있게 되었습니다. 제공되는 몇 가지 이점은 다음과 같습니다.

• 네트워크 및 보안 이상 탐지 - VPC의 모든 워크로드에서 관심 있는 트래픽을 추출하여 원하는 탐지 도구로 라우팅하고, 기존 로그 기반 도구보다 더 빠르게 공격을 탐지하고 대응합니다.
• 운영 인사이트 확보 - VPC 트래픽 미러링을 사용하여 네트워크 가시성과 제어 능력을 확보함으로써 더 정확한 정보를 바탕으로 보안 결정을 내릴 수 있습니다.
• 규정 준수 및 보안 제어 구현 - 모니터링, 로깅 등을 요구하는 규제 및 규정 준수 요건을 충족합니다.

Suricata는 네트워크에서 악의적인 활동을 모니터링할 수 있는 훌륭한 오픈 소스 옵션입니다. 앞으로 추가 규칙 및 대시보드를 통해 Suricata 통합 기능을 개선할 예정입니다.