technology_cloud

1. AWS WAF 개요

AWS WAF(AWS Web Application Firewall)는 AWS 클라우드 환경에서 웹 애플리케이션을 보호하는 서비스입니다. WAF는 HTTP(S) 요청을 필터링하여 애플리케이션을 보호하며, 주로 SQL 삽입, 크로스 사이트 스크립팅(XSS), 악성 봇, DDoS 공격 등과 같은 웹 공격을 방어하는 데 사용됩니다. AWS WAF는 사용자 정의 규칙을 통해 트래픽을 필터링하거나, AWS의 Managed Rules(관리형 규칙)를 사용할 수 있습니다.

2. AWS WAF Security Automation 개념

WAF Security Automation은 AWS WAF를 통해 웹 애플리케이션에 대한 자동화된 보안 작업을 구현하는 과정입니다. 이는 다양한 보안 이벤트를 실시간으로 모니터링하고, 이상 징후를 자동으로 감지하고 차단하는 시스템을 구축하는 것을 목표로 합니다. 보통 AWS WAF Security Automation에는 다음과 같은 핵심 요소가 포함됩니다:

• 자동화된 규칙 적용: 특정 조건이 충족되면 자동으로 규칙을 적용하여 웹 애플리케이션에 대한 위협을 차단합니다.
• 실시간 모니터링 및 경고: AWS CloudWatch와 같은 서비스를 활용하여 웹 애플리케이션의 상태를 실시간으로 모니터링하고, 보안 위협이 감지되면 알림을 보냅니다.
• 차단 및 대응: WAF의 규칙에 따라 공격이 감지되면 이를 자동으로 차단하고, 대시보드에서 공격의 특성을 파악하여 대응할 수 있습니다.
• 자동화된 보고 및 대응 작업: 보안 위협에 대한 보고서를 자동으로 생성하고, 대응 작업을 자동화하여 운영 효율성을 높입니다.

3. AWS WAF Security Automation 사용 가이드

3.1 AWS WAF 자동화 기본 설정

AWS WAF의 자동화된 보안을 설정하기 위해서는 기본적으로 웹 ACL(Web Access Control List)과 관련 규칙을 정의해야 합니다. 이를 통해 트래픽을 필터링하고 공격을 차단합니다.

1. 웹 ACL 설정
   • AWS Management Console, CLI, 또는 AWS SDK를 통해 웹 ACL을 생성합니다.
   • 웹 ACL에는 규칙과 보안 규칙을 설정하여 특정 트래픽을 차단하거나 허용합니다.
   • Rate-based Rules나 IP Set을 이용하여 자동화된 차단 규칙을 설정할 수 있습니다.
2. AWS WAF 규칙 생성
   • SQL Injection, XSS 등과 같은 관리형 규칙을 사용하거나, 맞춤형 규칙을 생성할 수 있습니다.
   • 예를 들어, 특정 IP 주소에서의 비정상적인 요청이 감지되면 이를 자동으로 차단하는 규칙을 설정할 수 있습니다.
3. 모니터링 및 경고 설정
   • AWS CloudWatch를 사용하여 AWS WAF 로그를 실시간으로 모니터링합니다.
   • 비정상적인 트래픽을 감지했을 때, 경고를 CloudWatch Alarms로 설정하여 담당자에게 알림을 보냅니다.
   • AWS WAF 로그는 CloudWatch Logs에 저장되고, 이를 바탕으로 실시간 트래픽 패턴을 분석할 수 있습니다.

3.2 AWS WAF와 자동화된 대응 설정

자동화된 대응을 위해 AWS Lambda를 사용할 수 있습니다. 예를 들어, 특정 조건이 발생했을 때 Lambda 함수를 트리거하여 WAF의 규칙을 자동으로 업데이트하거나, 차단된 IP를 자동으로 관리하는 등의 작업을 할 수 있습니다.

1. Lambda와 WAF 연동
   • AWS Lambda 함수를 작성하여 자동화된 대응을 구성할 수 있습니다. 예를 들어, WAF의 차단된 IP 목록을 가져오고, 자동으로 차단을 해제하는 작업을 할 수 있습니다.
2. DDoS 공격 대응
   • AWS Shield와 AWS WAF를 함께 사용하여 DDoS 공격에 대한 대응을 자동화할 수 있습니다. 예를 들어, 특정 수준의 트래픽을 감지하면 자동으로 웹 ACL을 조정하거나, Rate-limiting을 적용하여 트래픽을 제한할 수 있습니다.

3.3 Managed Rules 활용

AWS WAF의 관리형 규칙(AWS Managed Rules)을 사용하면, 웹 애플리케이션을 빠르게 보호할 수 있습니다. 관리형 규칙은 AWS에서 지속적으로 업데이트하고 제공하는 규칙으로, 다양한 공격을 차단하는 데 효과적입니다. 관리형 규칙은 기본적으로 자동으로 업데이트되므로 보안 운영에 대한 부담을 줄일 수 있습니다.

• AWS Managed Rules에는 OWASP Top 10 규칙이 포함되어 있으며, 이를 통해 SQL Injection, XSS, 브루트포스 공격 등을 자동으로 차단할 수 있습니다.

3.4 공격 트래픽의 분석 및 대응 자동화

WAF Security Automation을 활용하여 공격을 실시간으로 분석하고, 대응하는 시스템을 구축할 수 있습니다. 예를 들어, 비정상적인 트래픽 패턴을 실시간으로 분석하고 자동으로 공격을 차단할 수 있습니다. 이를 위해 AWS CloudWatch Logs Insights나 AWS Athena를 사용하여 WAF 로그를 분석하고, Lambda를 통해 실시간 대응을 할 수 있습니다.

4. WAF Security Automation의 장점

• 효율성 향상: 보안 위협을 자동으로 감지하고 대응함으로써, 운영자의 개입 없이도 웹 애플리케이션을 보호할 수 있습니다.
• 빠른 대응: 실시간 모니터링 및 자동화된 대응으로 공격에 신속하게 대응할 수 있습니다.
• 비용 절감: 자동화된 보안 관리로 운영 비용을 절감할 수 있습니다.
• 확장성: AWS 인프라의 확장성과 유연성을 활용하여 웹 애플리케이션의 보안을 강화할 수 있습니다.

https://aws.amazon.com/ko/solutions/implementations/security-automations-for-aws-waf/

[AWS AMI 지원 종료에 따른 AMI 2 버전으로 마이그레이션 방법]

AWS AMI 2 버전으로 마이그레이션 하려면 AMI 2 버전을 사용하여 새 인스턴스를 시작하고 데이터와 애플리케이션을 이 새 인스턴스로 마이그레이션해야 합니다.
다음은 AWS AMI 2로 마이그레이션하는 단계입니다.

1.AMI 2 설명서 검토
: 마이그레이션하기 전에 AWS AMI 2 설명서를 검토하여 새로운 기능과 변경 사항을 이해하는 것이 중요합니다.


2. 기존 AMI로 인스턴스 시작합니다.
AWS 콘솔에서 EC2 대시보드로 이동합니다.
"Launch Instance" 버튼을 클릭합니다.
"My AMIs" 탭에서 새로 생성한 AMI를 선택합니다.
인스턴스 유형, VPC, 서브넷, 보안 그룹 등을 선택하고, 인스턴스를 시작합니다.

2. 새 인스턴스 시작
: AMI 2 버전을 사용하여 새 인스턴스를 시작합니다.
AWS Management Console, AWS CLI 또는 AWS SDK를 통해 이 작업을 수행할 수 있습니다.

3. 데이터 및 애플리케이션 마이그레이션
데이터를 복사한다
새로운 인스턴스에서 이전 버전의 AMI에서 사용한 데이터를 복사합니다.
예를 들어, 이전 버전의 AMI에서 사용한 EBS 볼륨을 새로운 인스턴스에 연결하고, 데이터를 복사합니다.
이를 위해 AWS CLI를 사용하여 데이터를 복사하거나 백업을 생성 및 복원하는 등 다양한 방법을 사용할 수 있습니다.

4. NEW AMI 생성
1) AWS 콘솔에서 EC2 대시보드로 이동합니다.
2) AMI를 생성할 인스턴스를 선택하고, 마우스 오른쪽 버튼을 클릭합니다.
3)"이 인스턴스에서 이미지 생성(Create Image)"을 선택합니다.
AMI에 대한 이름, 설명, 태그 등을 지정하고, "Create Image" 버튼을 클릭합니다.


5. 테스트 및 검증:
새 인스턴스에서 애플리케이션을 테스트하고 검증하여 모든 것이 예상대로 작동하는지 확인합니다.

6. 이전 인스턴스 폐기
: 이전 AMI를 정리합니다
이전 버전의 AMI가 더 이상 필요하지 않다면, 삭제합니다.

REF: https://aws.amazon.com/ko/blogs/korea/update-on-amazon-linux-ami-end-of-life/