[Hands On] Config 규칙을 활용한 ANY Open 보안 그룹 식별

Hands On 주제

  • AWS Config를 활성한 뒤 관리형 AWS Config 규칙을 활용하여 인바운드 규칙이 ANY(0.0.0.0) Open되어 있는 보안 그룹을 식별하는 시간을 가져보겠습니다.

AWS Config 활성화 및 설정

  • AWS Config는 사용하기 전 서비스를 활성화하여야 합니다.
  • 첫 번째 Config 레코더 설정 및 구성 항목 저장 버킷 선택에서는 추가 설정을 하지 않고 Next를 눌러 진행합니다.
  • Config 활성화 시 신규 버킷이 생성되며 구성 항목이 신규 버킷에 저장됩니다.
  • 기존 버킷 혹은 타계정 버킷을 설정할 수 있습니다.
  • Hands On을 진행하시는 계정에 특정 리소스의 변화가 많은 경우 Config 레코더의 비용이 증가할 수 있습니다.
  • 두 번째는 관리형 Config 규칙을 설정합니다.
  • 이번 Hands On에서는 AWS Config를 활성화한 뒤 Config 규칙을 추가하는 순서로 진행하기 위해 규칙을 선택하지 않고 Next를 눌러 다음 단계를 진행하겠습니다.
  • 마지막은 앞서 설정한 설정을 확인할 수 있습니다.
  • 설정을 확인한 뒤 Confirm을 눌러 AWS Config를 활성화 하겠습니다.

Config 규칙 설정

  • AWS Config를 활성화한 뒤 AWS Config의 메인 화면입니다.
  • Rules를 눌러 Config 규칙을 설정하겠습니다.
  • 보안 그룹 ANY Open을 식별하는 관리형 Config 규칙인 vpc-sg-open-only-to-authorized-ports를 설정하도록 하겠습니다.
  • Add AWS managed rule을 선택한 뒤 vpc-sg-open-only-to-authorized-ports 규칙을 선택 후 Next를 눌러 다음 단계로 진행하겠습니다.
  • 해당 Config 규칙은 보안 그룹에 ANY Open 인바운드 규칙이 있을 시 보안 그룹을 NON_COMPLIANT 상태로 보여줍니다. ANY Open 인바운드 규칙이 없다면 COMPLIANT 상태로 나타냅니다.
  • Config 규칙을 설정하는 화면입니다. 규칙의 이름, 설명 및 리소스 변화를 감지하는 조건을 설정할 수 있습니다.
  • 이번 Hands On에서는 추가 설정없이 진행하겠습니다.
  • 마지막으로 설정값을 확인한 뒤 Save를 눌러 Config 규칙을 생성합니다.

결과 확인

  • 생성된 규칙은 콘솔 화면에서 확인할 수 있으며, 리소스 탐지 시간이 소요됩니다.
  • 리소스가 모두 탐지된 뒤 Hands On을 진행한 계정에 2개의 보안 그룹의 인바운드 규칙이 ANY Open인 것을 확인할 수 있습니다.
  • 규칙을 클릭하여 탐지된 리소스를 확인할 수 있습니다.
  • 2개의 보안 그룹이 어떤 포트에 대해 ANY Open인지 확인할 수 있습니다.

지금까지 간단하게 Hands On을 진행해보았습니다.

Hands On을 진행한 Config 규칙 이외에도 다양한 Config 규칙을 사용하여 기준을 위반하는 리소스를 식별하실 수 있습니다.

자세한 안내는 AWS의 개발자 안내서를 참고하시기 바랍니다.


AWS 서비스에 관해 문의 사항이나 기술 지원이 필요하시면,

NDS Sales팀으로 연락 주시길 바랍니다.

cloud.sales@nongshim.co.kr

SA 김도현