AWS용 취약점 평가 사용 설정 및 사용

이 페이지에서는 Amazon Web Services(AWS)용 취약점 평가 서비스를 설정하고 사용하는 방법을 설명합니다.

AWS용 취약점 평가를 사용 설정하려면 AWS 플랫폼에서 AWS IAM 역할을 만들고 Security Command Center에서 AWS용 취약점 평가 서비스를 사용 설정한 다음 AWS에 CloudFormation 템플릿을 배포해야 합니다.

시작하기 전에

AWS용 취약점 평가를 사용 설정하려면 특정 IAM 권한이 필요하며 Security Command Center를 AWS에 연결해야 합니다.

역할 및 권한

AWS용 취약점 평가 서비스 설정을 완료하려면 Google Cloud와 AWS 모두에서 필요한 권한이 있는 역할을 부여받아야 합니다.

Google Cloud 역할

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    IAM으로 이동
  2. 조직을 선택합니다.
  3. 액세스 권한 부여를 클릭합니다.

  4. 새 주 구성원 필드에 사용자 식별자를 입력합니다. 일반적으로 Google 계정의 이메일 주소입니다.

  5. 역할 선택 목록에서 역할을 선택합니다.
  6. 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
  7. 저장을 클릭합니다.

    8. AWS 역할

    AWS에서는 AWS 관리 사용자가 스캔을 사용 설정하는 데 필요한 AWS 계정을 만들어야 합니다.

    AWS에서 취약점 평가 역할을 만들려면 다음 단계를 따르세요.

    1. AWS 관리 사용자 계정을 사용하여 AWS 관리 콘솔에서 IAM 역할 페이지로 이동합니다.
    2. Service or Use Case 메뉴에서 lambda를 선택합니다.

    3. 다음 권한 정책을 추가합니다.

      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole

    4. 권한 추가 > 인라인 정책 만들기를 클릭하여 새 권한 정책을 만듭니다.

      1. 다음 페이지를 열고 AWS의 취약점 평가를 위한 역할 정책을 복사합니다.
      2. JSON 편집기에 정책을 붙여넣습니다.
      3. 정책의 이름을 지정합니다.
      4. 정책을 저장합니다.

    5. 트러스트 관계 탭을 엽니다.

    6. 다음 JSON 객체를 붙여넣어 기존 문장 배열에 추가합니다.

      {
  "Version": "2012-10-17",
  "Statement": [
     {
           "Sid": "Statement1 or replace with a unique statementId",
           "Effect": "Allow",
           "Principal": {
              "Service": "cloudformation.amazonaws.com"
           },
           "Action": "sts:AssumeRole"
     }
  ]
}

    7. 역할을 저장합니다.

    나중에 AWS에 CloudFormation 템플릿을 설치할 때 이 역할을 할당합니다.

    스캔할 AWS 리소스에 대한 정보 수집

    AWS용 취약점 평가를 사용 설정하는 단계 중에 특정 AWS 리전, AWS 리소스를 식별하는 특정 태그, 특정하드 디스크 드라이브 (HDD) 볼륨(SC1과 ST1 모두)을 스캔하도록 구성을 맞춤설정할 수 있습니다.

    AWS용 취약점 평가를 구성하기 전에 이 정보를 사용하면 도움이 됩니다.

    Security Command Center가 AWS에 연결되어 있는지 확인

    AWS용 취약점 평가 서비스는 Security Command Center가 취약점 감지를 위해 AWS에 연결되어 있을 때 Cloud 애셋 인벤토리가 유지 관리하는 AWS 리소스 인벤토리에 액세스해야 합니다.

    아직 연결이 설정되지 않은 경우 AWS용 취약점 평가 서비스를 사용 설정할 때 연결을 설정해야 합니다.

    연결을 설정하려면 취약점 감지 및 위험 평가를 위해 AWS에 연결을 참조하세요.

    Security Command Center에서 AWS용 취약점 평가 사용 설정

    조직 수준에서 Google Cloud에 AWS용 취약점 평가를 사용 설정해야 합니다.

    1. Security Command Center에서 설정 페이지로 이동합니다.

      설정으로 이동

    2. AWS용 취약점 평가를 사용 설정해야 하는 조직을 선택합니다. 설정 페이지의 서비스 탭이 열립니다.

    3. 취약점 평가 서비스 카드에서 설정 관리를 클릭합니다. 취약점 평가 페이지가 열립니다.

    4. Amazon Web Services 탭을 선택합니다.

    5. 서비스 사용 설정상태 필드에서 사용 설정을 선택합니다.

    6. AWS 커넥터에서 상태가 AWS 커넥터 추가됨으로 표시되는지 확인합니다. 상태가 추가된 AWS 커넥터 없음이 표시되면 AWS 커넥터 추가를 클릭합니다. 다음 단계로 진행하기 전에 취약점 감지 및 위험 평가를 위해 AWS에 연결의 단계를 완료합니다.

    7. AWS 컴퓨팅 및 스토리지의 스캔 설정을 구성합니다. 기본 구성을 변경하려면 스캔 설정 수정을 클릭합니다. 각 옵션에 대한 자세한 내용은 AWS 컴퓨팅 및 스토리지의 스캔 설정 맞춤설정을 참조하세요.

    8. 스캔 설정에서 CloudFormation 템플릿 다운로드를 클릭합니다. JSON 템플릿이 워크스테이션에 다운로드됩니다. 취약점을 스캔해야 하는 각 AWS 계정에 템플릿을 배포해야 합니다.

    AWS 컴퓨팅 및 스토리지에 대한 스캔 맞춤설정

    이 섹션에서는 AWS 리소스 스캔을 맞춤설정하는 데 사용할 수 있는 옵션에 대해 설명합니다. 이러한 커스텀 옵션은 AWS용 취약점 평가 스캔을 수정할 때 AWS 컴퓨팅 및 스토리지에 대한 스캔 설정 섹션 아래에 있습니다.

    최대 50개의 AWS 태그와 Amazon EC2 인스턴스 ID를 정의할 수 있습니다. 스캔 설정을 변경해도 AWS CloudFormation 템플릿은 영향을 받지 않습니다. 템플릿을 다시 배포할 필요가 없습니다. 태그나 인스턴스 ID 값이 올바르지 않고(예: 값의 철자가 틀림) 지정된 리소스가 존재하지 않으면 스캔 중에 값이 무시됩니다.
    옵션 설명
    스캔 간격 각 스캔 간의 시간 간격을 정의합니다. 6~24 사이의 값을 입력합니다. 기본값은 6입니다. 최댓값은 24입니다. 스캔을 자주 수행하면 리소스 사용량이 증가하고 청구 요금이 증가할 수 있습니다.
    AWS 리전 취약점 평가 스캔에 포함할 리전의 하위 집합을 선택합니다. 선택한 리전의
    인스턴스만 스캔됩니다. 스캔에 포함할 AWS 리전을 하나 이상 선택합니다.
    Amazon Web Services(AWS) 커넥터에서 특정 리전을 구성한 경우 여기에서 선택한 리전이 AWS 연결을 구성할 때 정의한 리전과 같거나 리전 하위 집합인지 확인합니다.
    AWS 태그 스캔되는 인스턴스의 하위 집합을 식별하는 태그를 지정합니다. 이러한 태그가 있는 인스턴스만 스캔됩니다. 각 태그의 키-값 쌍을 입력합니다. 잘못된 태그를 지정하면 무시됩니다. 태그를 최대 50개까지 지정할 수 있습니다. 태그에 대한 자세한 내용은 Amazon EC2 리소스 태그 지정Amazon EC2 리소스 태그 추가 및 삭제를 참조하세요.
    인스턴스 ID로 제외 EC2 인스턴스 ID를 지정하여 각 스캔에서 EC2 인스턴스를 제외합니다. 인스턴스 ID를 최대 50개까지 지정할 수 있습니다. 잘못된 값을 지정하면 무시됩니다. 인스턴스 ID를 여러 개 정의하면 AND 연산자를 통해 결합됩니다.
    • ID별 인스턴스 제외를 선택한 경우 AWS EC2 인스턴스 추가를 클릭한 후 값을 입력하여 각 인스턴스 ID를 직접 입력합니다.
    • 인스턴스 ID 목록을 복사하여 붙여넣어 JSON 형식에서 제외를 선택한 경우 다음 중 하나를 수행합니다.
      • 인스턴스 ID 배열을 입력합니다. 예를 들면 다음과 같습니다.
        [ "instance-id-1", "instance-id-2" ]
      • 인스턴스 ID 목록이 포함된 파일을 업로드합니다. 파일 콘텐츠는 인스턴스 ID 배열이어야 하며 예를 들면 다음과 같습니다.
        [ "instance-id-1", "instance-id-2" ]
    SC1 인스턴스 스캔 이러한 인스턴스를 포함하려면 SC1 인스턴스 스캔을 선택합니다. 기본적으로 SC1 인스턴스는 제외됩니다.
    SC1 인스턴스 자세히 알아보기
    ST1 인스턴스 스캔 이러한 인스턴스를 포함하려면 ST1 인스턴스 스캔을 선택합니다. 기본적으로 ST1 인스턴스는 제외됩니다.
    ST1 인스턴스에 대해 자세히 알아보세요.

    AWS CloudFormation 템플릿 배포

    1. AWS Management Console에서 AWS CloudFormation 템플릿 페이지로 이동합니다.
    2. 스택 > 새 리소스 포함(표준)을 클릭합니다.
    3. 스택 만들기 페이지에서 기존 템플릿 선택템플릿 파일 업로드를 선택하여 CloudFormation 템플릿을 업로드합니다.
    4. 업로드가 완료되면 고유한 스택 이름을 입력합니다. 템플릿의 다른 매개변수는 수정하지 마세요.
    5. 스택 세부정보 지정을 선택합니다. 스택 옵션 구성 페이지가 열립니다.
    6. 권한에서 이전에 만든 IAM Vulnerability Assessment Role을 선택합니다.
    7. 다음을 클릭합니다.
    8. 확인 체크박스를 선택합니다.
    9. 제출을 클릭하여 템플릿을 배포합니다. 스택이 실행되기 시작하는 데 몇 분 정도 걸립니다.

    배포 상태가 AWS 콘솔에 표시됩니다. CloudFormation 템플릿이 배포되지 않으면 문제 해결을 참고하세요.

    스캔이 실행되기 시작한 후 취약점이 감지되면 해당 발견 항목이 생성되어 Google Cloud 콘솔의 Security Command Center 발견 항목 페이지에 표시됩니다.

    콘솔에서 발견 항목 검토

    Google Cloud 콘솔에서 AWS 발견 항목의 취약점 평가를 볼 수 있습니다. 발견 항목을 보려면 보안 센터 발견 항목 뷰어(roles/securitycenter.findingsViewer) 역할이 필요합니다.

    Google Cloud 콘솔에서 AWS 발견 항목의 취약점 평가를 검토하려면 다음 단계를 따르세요.

    Google Cloud 콘솔

    1. Google Cloud 콘솔에서 Security Command Center의 발견 항목 페이지로 이동합니다.

      발견 항목으로 이동

    2. Google Cloud 프로젝트 또는 조직을 선택합니다.
    3. 빠른 필터 섹션의 소스 표시 이름 하위 섹션에서 EC2 취약점 평가를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
    4. 특정 발견 항목의 세부정보를 보려면 카테고리에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
    5. 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
    6. 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.

    Security Operations 콘솔

    1. Security Operations 콘솔에서 발견 항목 페이지로 이동합니다. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

      CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

    2. 집계 섹션에서 소스 표시 이름 하위 섹션을 클릭하여 펼칩니다.
    3. EC2 취약점 평가를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
    4. 특정 발견 항목의 세부정보를 보려면 카테고리에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
    5. 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
    6. 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.

    문제 해결

    AWS용 취약점 평가 서비스를 사용 설정했지만 스캔이 실행되지 않는 경우 다음을 확인하세요.

    • AWS 커넥터가 올바르게 설정되었는지 확인합니다.
    • CloudFormation 템플릿 스택이 완전히 배포되었는지 확인합니다. AWS 계정의 상태는 CREATION_COMPLETE이어야 합니다.