[SECTION 5] <Final Project> DAY 3 LOG

# Daily Plan

1. 날짜 : 2023.06.14
2. 금일 주요 업무
   
   • 요구사항 미팅
   • 미팅 피드백 정리
   • 아키텍처 보완
   • 예상비용 산출
3. 명일 예정사항
   • 아키텍처 미팅
4. 쉬는시간
   • 매시 정각~10분

---

# Study Log

CCE (Common Configuration Enumeration) 

CCE 목록이란?

- 사용자의 취약한 설정에 따라 발생하는 정보시스템 취약점으로 시간이 많이 소요되고, 시스템에 대한 영향도 분석 및 각 시스템에 대한 조치 방법 등을 충분히 숙지해야 평가 대응 및 조치가 가능

- 여러 소스와 툴 간의 구성 데이터의 명확하고 빠른 상관관계를 촉진해 작업 흐름을 개선하기 위해 보안 관련 시스템 구성 문제에 붙인 고유 식별 체계

- CCE 식별자를 활용해 구성 평가 도구 검사를 구성 모범 사례와 연결지을 수 있음

- 여러 소스의 정보를 처리할 때 일관된 식별자를 사용하면 데이터 상관 관계를 개선, 상호 운용성 활성화, 자동화를 촉진하며, 상황 인식 및 IT 보안 감사 및 규정 준수에 사용할 메트릭 수집을 용이하게함 (CVE®( Common Vulnerabilities and Exposures ) 또한 정보 보안 취약성에 대해 동일한 기능 제공)

- CVE와 유사하게 CCE는 특정 보안 관련 구성 문제에 고유한 공통 식별자를 할당

- CCE-ID는 구성 감사 도구와 같은 기계 판독 가능 또는 실행 가능 기능 사이의 가교 역할 수행

- 현재 CCE는 소프트웨어 기반 구성에만 초점을 맞추고 있으며 하드웨어 및/또는 물리적 구성에 대한 권장 사항은 지원되지 않음

- NIST는 자신의 제품의 구성 식별을 사용하도록 CCE를 요청하는 벤더사를 지원

CCE 목록

NCP - CCE Details

예시 

구성 형태

• CCE 식별 번호 : "CCE-2715-1"
• 설명 : 구성 문제에 대한 사람이 이해할 수 있는 설명
• 개념 매개변수 : 시스템에서 CCE를 구현하기 위해 지정해야 하는 매개변수
• 관련 기술 메커니즘 : 주어진 구성 문제에 대해 원하는 결과를 구현하는 하나 이상의 방법이 있을 수 있음
• 참조 : 구성 문제가 자세히 설명된 문서 또는 도구의 특정 섹션에 대한 포인터

 

CVE (Common Vulnerabilities and Exposure)

CVE

  - OS, application 설계상의 고유 취약점(악용될 수 있는 약점으로 인해 발생하는 소프트웨어, 펌웨어, 하드웨어 또는 서비스 구성 요소의 결함으로 영향을 받는 구성 요소의 기밀성, 무결성 또는 가용성에 부정적인 영향을 미침)

- CVE는 취약점을 식별, 정의 및 분류하며 카탈로그의 각 취약점에 대해 하나의 CVE 레코드가 존재

-취약점은 발견된 후 CVE 프로그램과 파트너 관계를 맺은 전 세계의 조직에서 할당하고 게시하며 파트너는 취약점에 대한 일관된 설명을 전달하기 위해 CVE 레코드를 게시

- 정보 기술 및 사이버 보안 전문가는 CVE 레코드를 사용하여 동일한 문제를 논의하고 취약점의 우선 순위를 지정하고 해결하기 위한 노력 수행

(ex) 하트블리드 취약점(cve-2014-0160), 쉘쇼크 취약점(CVE-2014-6271) 등

CVE 목록

CVE - CVE (version 20061101) and Candidates as of 20230614

예시

 

AWS 서비스에서 CCE 및 CVE를 점검하는 방법

1) S3

모든 Amazon S3 버킷 식별 및 감사

IT 자산의 식별은 거버넌스 및 보안의 중요한 측면으로, 보안 상태를 평가하고 잠재적인 취약 영역에 조치를 취하려면 모든 Amazon S3 리소스에 대한 가시성을 확보해야 함.  

• Tag Editor를 사용하여 보안에 민감하거나 감사에 민감한 리소스를 식별하고 태그를 지정한 다음 이러한 리소스를 검색해야 할 때 해당 태그를 사용할 것(자세한 내용은 태그 지정 AWS 리소스 사용 설명서 의 태그를 지정할 리소스 검색을 참조)
• S3 Inventory를 사용하여 비즈니스, 규정 준수 및 규제 요구 사항에 대한 객체의 복제 및 암호화 상태를 감사하고 보고 (자세한 내용은 Amazon S3 인벤토리 단원을 참조)
• Amazon S3 리소스에 대한 리소스 그룹을 생성 (자세한 내용은 리소스 그룹이란? 을 참조)

AWS 모니터링 도구를 사용하여 모니터링 구현

- 모니터링

 > 모니터링은 Amazon S3 및 AWS 솔루션의 안정성, 보안, 가용성 및 성능을 유지하는 데 중요한 부분으로 AWS는 Amazon S3 및 기타 AWS 서비스를 모니터링하는 데 도움이 되는 몇 가지 도구와 서비스를 제공 

(ex) Amazon S3에 대한 Amazon CloudWatch 지표 (PutRequests, GetRequests, 4xxErrors, DeleteRequests 등) (자세한 내용은 Amazon CloudWatch로 지표 모니터링 및 Amazon S3 모니터링 단원을 참조)

- 두 번째 예는 예: Amazon S3 버킷 활동 단원을 참조

Amazon S3 서버 액세스 로깅 활성화

- 서버 액세스 로깅은 버킷에 대한 요청에 대한 자세한 기록을 제공 

- 서버 액세스 로그는 보안 및 액세스 감사를 지원하고, 고객 기반에 대해 알아보고, Amazon S3 청구서를 이해하는 데 도움이 될 수 있음 

- 서버 액세스 로깅 활성화에 대한 지시사항은 서버 액세스 로깅을 사용하여 요청 로깅을 참조

- 또한 s3-bucket-logging-enabled AWS Config 관리형 규칙을 사용하여 지속적인 탐지 제어를 구현하는 것도 고려

AWS CloudTrail 사용

- AWS CloudTrail은 Amazon S3에서 사용자, 역할 또는 AWS 서비스가 수행한 작업 기록을 제공 CloudTrail에서 수집한 정보를 사용하여 다음을 결정 가능

• Amazon S3에 대한 요청
• 요청이 이루어진 IP 주소
• 요청한 사람
• 요청이 이루어진 시기
• 요청에 대한 추가 세부정보

- cloudtrail-s3-dataevents-enabledAWS Config 는 하나 이상의 CloudTrail 추적이 S3 버킷에 대한 데이터 이벤트를 로깅하고 있는지 확인하는 데 사용할 수 있는 관리형 규칙( )을 제공함(자세한 내용은 AWS Config Developer Guide 의 cloudtrail-s3-dataevents-enabled를 참조)

AWS config 활성화

- AWS Config는 AWS 리소스의 구성을 평가, 감사 및 평가하는 데 도움이 됨 

- AWS Config는 원하는 보안 구성에 대해 기록된 구성을 평가할 수 있도록 리소스 구성을 모니터링 AWS Config를 사용하여 다음을 수행 가능

• AWS 리소스 간의 구성 및 관계 변경 사항 검토
• 자세한 리소스 구성 기록 조사
• 내부 지침에 지정된 구성에 대한 전반적인 규정 준수 여부 확인

- AWS Config를 사용하면 규정 준수 감사, 보안 분석, 변경 관리 및 운영 문제 해결을 간소화 가능 (자세한 내용은 AWS Config Developer Guide 의 콘솔로 AWS Config 설정을 참조) 

- AWS Config 사용 방법의 예는 AWS Config를 사용하여 퍼블릭 액세스를 허용하는 Amazon S3 버킷을 모니터링하고 응답하는 방법을 참조

Amazon Macie를 사용하여 민감한 데이터 검색

- Amazon Macie는 기계 학습 및 패턴 매칭을 사용하여 민감한 데이터를 검색하는 보안 서비스 

- Macie는 데이터 보안 위험에 대한 가시성을 제공하고 이러한 위험에 대한 자동화된 보호를 활성화하므로, Macie를 사용하면 Amazon S3 데이터 자산에서 민감한 데이터의 검색 및 보고를 자동화하여 조직이 Amazon S3에 저장하는 데이터를 더 잘 이해 가능

- Macie로 중요한 데이터를 탐지하려면 많은 국가 및 지역에서 점점 더 많은 중요한 데이터 유형 목록을 탐지하도록 설계된 기본 제공 기준 및 기술을 사용 가능 

- 이러한 중요한 데이터 유형에는 여러 유형의 개인 식별 정보(PII), 금융 데이터 및 자격 증명 데이터가 포함됨 또한 일치시킬 텍스트 패턴을 정의하는 정규식과 선택적으로 결과를 구체화하는 문자 시퀀스 및 근접 규칙을 정의하는 사용자 정의 기준을 사용할 수도 있음

- Macie가 S3 객체에서 민감한 데이터를 감지하면 Macie는 보안 결과를 생성하여 알려줌 

- 이 조사 결과는 영향을 받는 개체, Macie가 찾은 중요한 데이터의 유형 및 발생 횟수, 영향을 받는 S3 버킷 및 개체를 조사하는 데 도움이 되는 추가 세부 정보에 대한 정보를 제공 (자세한 내용은 Amazon Macie 사용 설명서 를 참조)

S3 스토리지 렌즈 사용

- S3 Storage Lens는 객체 스토리지 사용 및 활동에 대한 조직 전체의 가시성을 확보하는 데 사용할 수 있는 클라우드 스토리지 분석 기능으로, S3 Storage Lens는 또한 메트릭을 분석하여 스토리지 비용을 최적화하고 데이터 보호를 위한 모범 사례를 적용하는 데 사용할 수 있는 상황별 권장 사항을 제공

- S3 Storage Lens를 사용하면 메트릭을 사용하여 조직 전체에 얼마나 많은 스토리지가 있는지 또는 가장 빠르게 성장하는 버킷 및 접두사를 찾는 것과 같은 요약 통찰력을 생성 가능 

- 또한 S3 Storage Lens 지표를 사용하여 비용 최적화 기회를 식별하고, 데이터 보호 및 액세스 관리 모범 사례를 구현하고, 애플리케이션 워크로드의 성능을 개선 가능

- 예를 들어 S3 수명 주기 규칙이 없는 버킷을 식별하여 7일이 지난 불완전한 멀티파트 업로드를 중단 가능하며, S3 복제 또는 S3 버전 관리와 같은 데이터 보호 모범 사례를 따르지 않는 버킷을 식별할 수도 있음 (자세한 내용은 Amazon S3 스토리지 렌즈 이해를 참조)

AWS 보안 권고 모니터링

- AWS 계정에 대한 Trusted Advisor에 게시된 보안 권고를 정기적으로 확인하는 것이 권장 (특히 "오픈 액세스 권한"이 있는 Amazon S3 버킷은 describe-trusted-advisor-checks 를 사용하여 프로그래밍 방식으로 작업 수행 가능)

 

2) Lambda

Lambda

AWS Lambda의 구성 및 취약성 분석 - AWS Lambda

- Amazon Inspector를 사용하여 Lambda 함수 및 계층의 보안 취약성을 탐지 가능

- Amazon Inspector는 취약성 인텔리전스 데이터베이스를 기반으로 취약점을 발견하고 보고하는 자동화된 취약성 검색 서비스

- Amazon Inspector 취약성 인텔리전스 데이터베이스는 내부 AWS 보안 연구 팀, 유료 공급업체 피드 및 업계 표준 보안 권고로부터 데이터를 수집

- Amazon Inspector는 활성 Lambda 함수 및 계층의 인벤토리를 자동으로 생성한 다음 소프트웨어 패키지 취약성을 지속적으로 모니터링

- Amazon Inspector는 취약성을 발견하면 보안 문제에 대한 세부 정보 및 문제 해결 방법이 포함된 결과를 생성

- Amazon Inspector 콘솔에서 Amazon Inspector 결과를 보거나 다른 AWS 서비스를 통해 결과를 처리 가능

- Amazon Inspector Lambda 스캔을 활성화하고 구성하는 방법에 대한 자세한 내용은 Amazon Inspector를 사용한 Lambda 함수 스캔을 참조

 

3) EC2

- AWS 서비스가 특정 규정 준수 프로그램의 범위에 포함되는지 알아보려면 규정 준수 프로그램 제공 범위 내 AWS 서비스를 참조하고 관심 있는 규정 준수 프로그램을 선택 일반적인 정보는 AWS 규정 준수 프로그램을 참조

- AWS Artifact를 사용하여 타사 감사 보고서를 다운로드 가능 자세한 내용은 AWS Artifact에서 보고서 다운로드를 참조

AWS에서 제공하는 규정 준수를 지원하는 리소스

• 보안 및 규정 준수 빠른 시작 안내서 – 이 배포 안내서에서는 아키텍처 고려 사항에 대해 설명하고 보안 및 규정 준수에 중점을 둔 기본 AWS 환경을 배포하기 위한 단계를 제공
• Amazon Web Services에서 HIPAA 보안 및 규정 준수 기술 백서 설계 - 이 백서는 기업에서 AWS를 사용하여 HIPAA를 준수하는 애플리케이션을 만드는 방법을 설명 (모든 AWS 서비스에 HIPAA 자격이 있는 것은 아니므로 자세한 내용은 HIPAA 적격 서비스 참조를 참조)
• AWS 규정 준수 리소스 - 고객 조직이 속한 산업 및 위치에 적용될 수 있는 워크북 및 가이드 콜렉션
• AWS Config 개발자 안내서의 규칙을 사용하여 리소스 평가 – AWS Config 서비스는 내부 사례, 산업 지침 및 규제에 대한 리소스 구성의 준수 상태를 평가
• AWS Security Hub – 이 AWS 서비스는 AWS 내의 보안 상태에 대한 포괄적인 보기를 제공함. Security Hub는 보안 제어를 사용하여 AWS 리소스를 평가하고 보안 업계 표준 및 모범 사례에 대한 규정 준수를 확인 (지원되는 서비스 및 제어 목록은 Security Hub 제어,  Amazon Elastic Compute Cloud 제어를 참조)
• AWS Audit Manager - 이 AWS 서비스는 AWS 사용을 지속해서 감사하여 위험을 관리하고 규정 및 업계 표준을 준수하는 방법을 간소화할 수 있도록 지원
• Amazon Inspector를 사용하여 Amazon EC2 인스턴스에서 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 자동으로 검색하고 스캔(자세한 정보는 Amazon Inspector 사용 설명서를 참조)

 

4) RDS

- AWS Security Hub는 보안 제어를 사용하여 리소스 구성 및 보안 표준을 평가하여 다양한 규정 준수 프레임워크를 준수할 수 있도록 지원함

- Security Hub를 사용하여 RDS 리소스를 평가하는 방법에 대한 자세한 내용은 AWS Security Hub 사용 설명서의 Amazon Relational Database Service 제어를 참조

- Security Hub를 사용하여 보안 모범 사례와 관련된 RDS의 사용량을 모니터링 가능 (자세한 내용은 AWS Security Hub란 무엇입니까?를 참조)

aws config의 리소스 관련 규칙

1) rds

• rds-automatic-minor-version-업그레이드 가능
• rds-cluster-default-admin-체크
• rds-cluster-deletion-protection-가능
• rds-cluster-iam-authentication-가능
• rds-cluster-multi-az-가능
• rds-db-security-group-허용되지 않음
• rds-enhanced-monitoring-enabled
• rds-instance-default-admin-체크
• rds-instance-deletion-protection-가능
• rds-instance-iam-authentication-가능
• rds-instance-public-access-체크
• rds-in-backup-plan
• rds-last-backup-recovery-포인트 생성
• rds-logging-enabled
• rds-multi-az-support
• rds-resources-protected-by-백업 계획
• rds-snapshots-public-prohibited
• rds-snapshot-encrypted
• rds-storage-encrypted

2) ec2

• ec2- -모두 client-vpn-not-authorize
• ec2- ebs-encryption-by-default
• ec2-imdsv2-check
• ec2- instance-detailed-monitoring-enabled
• ec2- -매니저 instance-managed-by-systems
• ec2- instance-multiple-eni-check
• ec2- instance-no-public-ip
• ec2- instance-profile-attached
• ec2- 생성됨 last-backup-recovery-point
• ec2- 비활성화됨 launch-template-public-ip
• ec2- managedinstance-applications-blacklisted
• ec2- managedinstance-applications-required
• ec2- managedinstance-association-compliance-status -체크
• ec2- managedinstance-inventory-blacklisted
• ec2- managedinstance-patch-compliance-status -체크
• ec2- managedinstance-platform-check
• ec2- no-amazon-key-pair
• ec2- paravirtual-instance-check
• ec2--플랜 resources-protected-by-backup
• ec2- -eni security-group-attached-to
• ec2- security-group-attached-to -주기적
• ec2-stopped-instance
• ec2- token-hop-limit-check
• ec2- -첨부 비활성화 transit-gateway-auto-vpc
• ec2- volume-inuse-check

3) lambda

• lambda-concurrency-check
• lambda-dlq-check
• lambda-function-public-access-금지
• lambda-function-settings-check
• lambda-inside-vpc
• lambda-vpc-multi-az-체크

4) s3

• s3- account-level-public-access -블록
• s3 account-level-public-access - 블록 주기적
• s3- bucket-acl-prohibited
• s3- bucket-blacklisted-actions-prohibited
• s3- bucket-default-lock-enabled
• s3- bucket-level-public-access -금지됨
• s3- bucket-logging-enabled
• s3- bucket-policy-grantee-check
• s3- bucket-policy-not-more -허용
• s3- bucket-public-read-prohibited
• s3- bucket-public-write-prohibited
• s3- bucket-replication-enabled
• s3 bucket-server-side-encryption - 지원
• s3- bucket-ssl-requests-only
• s3- bucket-versioning-enabled
• s3- default-encryption-kms
• s3- event-notifications-enabled
• s3- last-backup-recovery-point -생성됨
• s3- lifecycle-policy-check
• s3 resources-protected-by-backup - 플랜
• s3- version-lifecycle-policy-check

 

# Progress LOG

공통 사항

• 공동 계정 : 팀장님 👍

기능/인프라 요구사항

1. 자산 구분 시스템
   1. 자동 태깅
      •  cloud trail : 리소스 생성, 삭제 등 API 발생 기록을 cloudwatch로 전달
      •  cloudwatch : 각종 이벤트 수집
      •  lambda : cloudwatch에서 발생한 이벤트로 리소스 태깅
   2. 수동 태깅
      • resource group, tag editor를 이용해 리소스 태깅
2. 자산 점검
   1. CVE
      • Inspector로 취약성 점검 + system manager automation로 자동 수정
   2. CCE
      • AWS 리소스 대상으로 config 사용해 구성 취약점 점검 + system manager automation로 자동 수정
   3. (Optional) WAF, Shield, Guard Duty로 보안성 강화
3. 알림
   1. 취약성 점검 결과 알림 (실시간 발생 시)
      • config, inspector -> lambda -> sns -> sms/email 알림
   2. 모니터링/취약점 일별 점검 결과 리포트 (일 1회, 따로)
      1. 취약점 보고 : security hub -> lambda -> slack/mail
      2. 성능 보고 : adot, amp -> lambda -> slack/mail
         • (Optional) 시각화된 email
         • CPU 평균(%), 메모리, 네트워크, 요청건수
4. 시각화된 모니터링
   1. 오픈 텔레메트리
   2. grafana
5. (Optional) 비용 관리

To be Determined

• 일별 점검 결과 리포트가 모니터링 포함인지?
• system manager automation -> s3 6시간 이후 수정되는 것도 가능?
• 자산 구분 태깅 dev/prod 구분 시 리소스명에서 필터링하는 건지?
• grafana에서 리포트 기능 (enterprise) -> 대체 가능 수단?

 

# issue Log

문제

개념 정의

• cce : 시스템 설정, 구성상의 취약점
• cve : os, sw 설계 상의 취약점

cce의 "시스템 설정" 상의 취약점에서 시스템의 경계란?

1. 시스템 설정이 aws 리소스에 한정하는 경우 : aws config에서 지원하는 관리형 정책 같은 경우에는 aws에서 제공하는 서비스 s3, rds, ec2 등의 설정상 취약점을 점검 가능
2. 시스템 설정이 os, s/w까지 해당하는 경우 : nist, kisa에서 확인한 cce list 같은 경우에는 mac, solaris, linux, mysql 등 특정 벤더사에 종속된 cce를 확인해 일일이 점검 필요

- 만일 2)번 같은 경우에는 기존 레거시 시스템이 어떤 os와 소프트웨어로 구성되어있는 지를 특정한 뒤 cce를 수동으로 점검하도록 람다나 스크립트를 작성해야 할 것으로 추정됨.

해결

- CCE는 사용자에게 권한 이상의 동작을 허용하는 등의 시스템 설정 상의 취약점 정도로 이해하면 됨 (AWS 리소스 한정)

 

---

# Daily Reporting

☑️ 요구사항 미팅 with CTO

☑️ CCE, CVE 조사

☑️ 조사 내용 미팅 with 팀원

 

---

# references

https://ncp.nist.gov/cce

NCP - CCE Details

https://csrc.nist.gov/Projects/Security-Content-Automation-Protocol/Specifications/common-configuration-enumeration-cce

Security Content Automation Protocol | CSRC

https://isms.kisa.or.kr/main/csap/notice/

KISA 정보보호 및 개인정보보호관리체계 인증 클라우드 보안인증제 자료실

https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html#config

Security best practices for Amazon S3 - Amazon Simple Storage Service

https://docs.aws.amazon.com/whitepapers/latest/guidelines-for-implementing-aws-waf/guidelines-for-implementing-aws-waf.html?secd_ip3 

Guidelines for Implementing AWS WAF - Guidelines for Implementing AWS WAF

https://catalog.workshops.aws/inspector/en-US/?secd_ip6 

Workshop Studio

https://aws.amazon.com/ko/solutions/implementations/security-automations-for-aws-waf/

Security Automations for AWS WAF | AWS 솔루션

https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html?secd_ip5 

AWS Security Reference Architecture (AWS SRA) - AWS Prescriptive Guidance

https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency/welcome.html?secd_ip1 

AWS Best Practices for DDoS Resiliency - AWS Best Practices for DDoS Resiliency

https://aws.amazon.com/ko/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc&awsf.content-type=*all&awsf.methodology=*all 

보안, 자격 증명 및 규정 준수 | AWS 아키텍처 센터

https://explore.skillbuilder.aws/learn/external-ecommerce;view=signin;redirectURL=

Self-paced digital training on AWS - AWS Skill Builder

https://catalog.workshops.aws/guardduty/en-US/introduction/?secd_ir11 

Workshop Studio

https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html?secd_det5 

AWS Foundational Security Best Practices (FSBP) standard - AWS Security Hub

https://aws.amazon.com/ko/solutions/implementations/automated-security-response-on-aws/

Automated Security Response on AWS | AWS 솔루션

https://www.cve.org/

cve-website

https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/Using_Tags.html

Amazon EC2 리소스 태깅 - Amazon Elastic Compute Cloud

https://docs.aws.amazon.com/ko_kr/config/index.html

https://docs.aws.amazon.com/ko_kr/config/index.html

https://aws.amazon.com/ko/blogs/mt/auto-tag-aws-resources/

Automatically tag new AWS resources based on identity or role | Amazon Web Services

https://grafana.com/docs/grafana/latest/developers/http_api/reporting/#status-codes

Reporting API | Grafana documentation

https://github.com/IzakMarais/reporter

GitHub - IzakMarais/reporter: Service that generates a PDF report from a Grafana dashboard