사례
한 금융 서비스 기업이 EC2 인스턴스에 주력 애플리케이션을 배포했습니다. 해당 애플리케이션은 민감한 고객 데이터를 처리하기 때문에 회사 보안 팀에서는 AWS Certificate Manager(ACM)를 통해 EC2 인스턴스에 설치된 모든 타사 SSL/TLS 인증서를 만료일 전에 갱신할 수 있는 방법을 찾고 있습니다. 회사는 인증서 만료 30일 전에 보안 팀이 알림을 받을 수 있는 솔루션을 구축하기 위해 AWS 공인 솔루션 아키텍트 어소시에이트인 여러분을 고용했습니다. 솔루션 개발 시간 및 유지 보수 작업은 최소화해야 합니다.
어떤 방법을 사용하시겠습니까?
본론
AWS Config 관리 규칙을 사용해 ACM으로 가져온 타사 SSL/TLS 인증서 중에 30일 이내에 만료됨으로 표시된 것이 있는지 확인한다. 30일 이내에 만료되는 인증서가 있을 경우 보안팀으로 SNS 알림을 보내도록 규칙을 구성한다.
ACM(AWS Certificate Manager)는 AWS 서비스 및 내부적으로 연결된 리소스에 사용하기 위한 공용 및 사설 보안소켓 계층/전송계층 보안 (SSL/TLS)을 프로비저닝, 관리, 배포 할 수 있는 서비스이다.
AWS Config는 AWS 계정에 있는 AWS 리소스의 구성에 관한 세부정보를 제공.
여기에는 리소스들이 서로 어떻게 연관되어 있는지, 과거에 어떻게 구성되어있는지, 구성과 관계가 어떻게 변했는지 알 수 있다.
AWS Config는 여러분의 AWS 리소스가 공통된 모범 방식을 따르는지 평가하는 데 사용하는 미리 정의된 사용자 지정 가능한 규칙인 AWS-매니지드 룰을 제공한다. AWS Config 매니지드 룰을 활용하여 여러분 계정의 ACM 인증서에 표시된 만료기간이 지정된 날짜 수 이내인지 확인할 수 있다. ACM이 제공하는 인증서는 자동으로 갱신.
반대로 따로 임포트하는 인증서는 자동으로 갱신하지 않는다. 인증서가 곧 만료할 경우, 규칙은 미준수(NON_COMPLIANT)이다.
또한 AWS Config를 구성하여 구성 변경사항과 알림을 Amazon SNS 토픽에 스트리밍할 수 있다.. 예를 들어 어떤 리소스가 업데이트되면 알림 이메일을 전송받아서 변경사항을 열람할 수 있다.
사용자 지정 또는 매니지드 룰이 리소스와 상충되는 것으로 AWS Config가 평가하였을 때 알림을 받을 수도 있다.
1. AWS Config 관리 규칙을 사용해 ACM을 통해 생성된 SSL/TLS 인증서 중에 30일 이내에 만료됨음로 표시된 것이 있는지 확인한다. 30일 이내에 만료되는 인증서가 있을 경우 보안팀으로 SNS 알림을 보내도록 규칙을 구성한다.
2. ACM으로 생성한 인증서의 ‘DaysToExpiry’ CloudWatch 지표를 모니터링한다. CloudWatch 경보를 생성하여 이러한 인증서의 DaysToExpiry 지표를 모니터링하고, 이를 기반으로 보안 팀에게 알림을 보내는 사용자 지정 액션을 실행한다.
위 두 개의 지문은 틀린 지문이다.
ACM을 통해 생성된 모든 SSL/TLS 인증서는 만료에 관한 모니터링/개입이 전혀 필요하지 않는다.
ACM이 자동으로 그러한 인증서들을 갱신.
'서버 > SAA-C03' 카테고리의 다른 글
| [SAA-C03] AWS Neptune (1) | 2024.05.25 |
|---|---|
| [SAA-C03] S3와 KDS간의 DMS 활용 (0) | 2024.05.25 |
| [SAA-C03] EC2 ECS와 Fargate ECS의 요금 차이 (0) | 2024.05.24 |
| [SAA-C03] Amazon FSx for Lustre (0) | 2024.05.24 |
| [SAA-CO3] 권한 경계(Permissions boundary) 솔루션 (0) | 2024.05.24 |
