본문 바로가기
자격증/AWS Certified Security - Specialty

[AWS SCS] AWS Config

S0NG 2024. 12. 25. 15:58
728x90
반응형

AWS Config: 리소스 감사 및 컴플라이언스 관리

AWS Config는 AWS 환경에서 리소스의 감사 및 컴플라이언스를 추적하고 기록하는 서비스입니다. 사용자는 정의한 규칙에 따라 리소스의 상태와 변경 사항을 기록하고, 필요 시 빠르게 롤백하여 문제의 원인을 파악할 수 있습니다. 이 서비스는 특히 인프라 변경을 관리하고 규정 준수를 유지하는 데 유용합니다.

AWS Config 주요 기능

  1. 컴플라이언스 기록
    • AWS Config는 리소스가 규정에 맞는지 여부를 추적하고 기록합니다.
    • 예시 질문:
      • 내 보안 그룹에 SSH 접근이 제한되지 않았는가?
      • 내 S3 버킷에 공용 접근 권한이 설정되어 있는가?
      • ALB(Appliance Load Balancer) 구성에 변경이 있었는가?
  2. 리소스 변경 추적
    • 시간이 지나면서 리소스 구성의 변화를 추적할 수 있어, 문제가 발생했을 때 원인을 빠르게 파악하고 롤백할 수 있습니다.
  3. 알림 기능
    • 컴플라이언스를 위반한 리소스에 대해 SNS 알림을 받을 수 있어, 실시간으로 리소스 상태를 모니터링할 수 있습니다.
  4. 리소스 집계
    • 여러 AWS 리전 및 계정에서 데이터를 집계하여 한 곳에서 중앙 집중식으로 관리할 수 있습니다.
  5. Amazon History 저장
    • 리소스의 구성을 Amazon History에 저장하여 나중에 Athena와 같은 서버리스 쿼리 엔진을 통해 분석할 수 있습니다.

AWS Config 규칙 종류

  1. 관리형 규칙
    AWS에서 제공하는 75개 이상의 관리형 Config 규칙을 사용할 수 있습니다.
  2. 사용자 정의 규칙
    사용자가 Lambda 함수를 통해 직접 규칙을 정의할 수 있습니다. 예를 들어, EBS 디스크 타입을 gp2로 설정하거나, EC2 인스턴스 타입을 t2.micro로 강제하는 규칙을 만들 수 있습니다.
  3. 평가 주기
    • 구성 변경 시 평가: 리소스 구성 변경 시 자동으로 규칙을 평가합니다.
    • 주기적 평가: 예를 들어, 2시간마다 EBS 디스크가 gp2 타입인지 확인하는 규칙을 설정할 수 있습니다.
  4. 컴플라이언스 검사
    AWS Config 규칙은 리소스가 규정 준수 상태인지 확인하며, 규칙이 위반된 경우 알림을 보내지만 직접적인 차단 기능은 제공하지 않습니다.

비용

AWS Config는 사용량에 따라 비용이 발생합니다:

  • 구성 항목 기록: 지역당 0.003센트
  • Config 규칙 평가: 지역당 0.001센트

리소스의 상태를 모니터링하고, 시간에 따른 변화를 추적하는 데 유용하지만, 서비스 비용이 빠르게 증가할 수 있으므로 주의가 필요합니다.

비준수 리소스의 수정 작업

AWS Config는 비준수 리소스를 수정하는 자동화 작업을 실행할 수 있습니다. 예를 들어, 만료된 IAM 액세스 키를 비준수로 표시하고, 이를 자동으로 비활성화하는 작업을 설정할 수 있습니다.

  1. SSM Automation Documents
    AWS는 자동 수정 작업을 위한 SSM Automation Documents를 제공합니다. 예를 들어, RevokeUnusedIAMUserCredentials 문서를 사용해 IAM 액세스 키를 비활성화할 수 있습니다.
  2. 재시도 기능
    자동 수정 작업 후 리소스가 여전히 비준수 상태일 경우 최대 5번까지 수정 작업을 재시도할 수 있습니다.

알림 및 EventBridge

AWS Config는 EventBridge를 사용하여 리소스가 비준수 상태가 되었을 때 이벤트를 트리거하고, 이를 다른 리소스에 전달할 수 있습니다. 또한, SNS를 통해 모든 리소스 변경 사항에 대한 알림을 받을 수 있습니다.

  • SNS 필터링: 특정 이벤트에 대한 알림만 받을 수 있도록 SNS 필터링을 설정할 수 있습니다.
  • 슬랙 알림: 관리자의 이메일이나 Slack 채널로 알림을 전달하여 한 곳에서 모든 알림을 받을 수 있습니다.

결론

AWS Config는 AWS 환경에서 리소스의 컴플라이언스와 구성을 효율적으로 관리할 수 있는 강력한 도구입니다. 리소스 변경 추적, 규칙 준수 여부 확인, 자동화된 수정 작업 및 알림 기능을 통해 보안 및 규정 준수 상태를 지속적으로 모니터링할 수 있습니다. 다만, 비용 관리에 유의해야 하며, 이를 적절히 활용하기 위해서는 정확한 설정과 규칙 적용이 중요합니다.

728x90
반응형
저작자표시 (새창열림)

'자격증 > AWS Certified Security - Specialty' 카테고리의 다른 글

[AWS SCS] AWS Config - Use Cases  (0) 2024.12.25
[AWS SCS] AWS Config - Aggregators  (0) 2024.12.25
[AWS SCS] AWS Control Tower  (0) 2024.12.25
[AWS SCS] AWS 조직 - IAM 정책 & Tag 정책  (0) 2024.12.25
[AWS SCS] Organizations  (0) 2024.12.25

'자격증/AWS Certified Security - Specialty' Related Articles

티스토리툴바