개요
Automations for AWS Firewall Manager를 구현하면 AWS Organizations의 모든 계정 및 리소스에 대한 방화벽 규칙을 중앙에서 자동화된 방식으로 구성, 관리 및 감사할 수 있습니다. 이 AWS 솔루션을 사용하면 조직 전체에서 일관된 보안 태세를 유지할 수 있습니다.
이 솔루션에는 AWS WAF에 대한 애플리케이션 수준 방화벽을 구성하고, Amazon Virtual Private Cloud(VPC) 보안 그룹의 미사용 및 과다 권한에 대한 감사를 시행하며, DNS 방화벽을 구성하여 잘못된 도메인에 대한 쿼리를 차단하는 규칙이 미리 설정되어 있습니다.
또한 이 솔루션은 방화벽 보안 규칙의 빠른 기준을 만들고 AWS Shield Advanced와의 통합을 통해 분산 서비스 거부(DDoS) 공격으로부터 보호하는 데 도움이 됩니다.
참고: 조직에서 이미 Firewall Manager를 사용하는 경우 이 솔루션을 사용할 수 있지만 Firewall Manager 관리자 계정에 이 솔루션을 설치해야 합니다. 아직 Firewall Manager를 설정하지 않은 경우 구현 가이드에서 설정 단계를 참조하세요.
이점
다중 계정 AWS 환경에서 AWS Firewall Manager를 사용하여 AWS WAF, DNS 및 보안 그룹 규칙을 손쉽게 구성하고 감사할 수 있습니다.
이 솔루션을 활용하여 Firewall Manager를 사용하는 데 필요한 사전 요구 사항을 설치할 수 있으므로 특정 보안 요구 사항에 더 많은 시간을 할애할 수 있습니다.
AWS Shield Advanced 구독을 활용하여 AWS Organizations의 계정 전체에 DDoS 차단 기능을 배포할 수 있습니다.
기술 세부 정보
구현 가이드 및 함께 제공되는 AWS CloudFormation 템플릿을 사용하여 이 아키텍처를 자동으로 배포할 수 있습니다.
이 아키텍처는 정책 관리자 및 규정 준수 보고서 생성기라는 2가지 워크플로로 나눌 수 있습니다.
1단계
AWS Systems Manager의 기능인 Parameter Store에 /FMS/OUs, /FMS/Regions 및 /FMS/Tags라는 파라미터 세 개가 포함되어 있습니다. Systems Manager를 사용하여 이러한 파라미터를 업데이트할 수 있습니다.
2단계
Amazon EventBridge 규칙은 이벤트 패턴을 사용하여 System Manager 파라미터 업데이트 이벤트를 캡처합니다.
3단계
EventBridge 규칙에 의해 AWS Lambda 함수가 간접적으로 호출됩니다.
4단계
Lambda 함수는 미리 정의된 AWS Firewall Manager 보안 정책 세트를 사용자가 지정한 OU에 설치합니다. 또한 AWS Shield를 구독하는 경우 분산 서비스 거부(DDoS) 공격을 차단하는 Advanced 정책이 이 솔루션을 통해 배포됩니다.
5단계
PolicyManager Lambda 함수는 Amazon Simple Storage Service(Amazon S3) 버킷에서 정책 매니페스트 파일을 가져오고 해당 매니페스트 파일을 사용하여 Firewall Manager 보안 정책을 생성합니다.
6단계
Lambda는 정책 메타데이터를 Amazon DynamoDB 테이블에 저장합니다.
7단계
시간 기반 EventBridge 규칙에 의해 Compliance Generator Lambda 함수가 간접적으로 호출됩니다.
8단계
Compliance Generator Lambda가 각 리전에서 Firewall Manager 정책을 가져오고 정책 ID 목록을 Amazon Simple Notification Service(SNS) 주제에 게시합니다.
9단계
해당 Amazon SNS 주제는 페이로드 {PolicyId: string, Region: string}을 사용하여 Compliance Generator Lambda 함수를 간접적으로 호출합니다.
10단계
ComplianceGenerator Lambda 함수가 각 정책에 대한 규정 준수 보고서를 생성하고 이 보고서를 CSV 형식으로 S3 버킷에 업로드합니다.
관련 콘텐츠
이 과정에서는 AWS 보안 기술, 사용 사례, 이점 및 서비스에 대한 개요를 제공합니다. 인프라 보호 섹션에서는 트래픽 필터링을 위한 AWS WAF에 대해 다룹니다.
이 과정에서는 여러 AWS 계정에 대한 정책 기반 관리를 제공하는 서비스인 AWS Organizations를 소개합니다. 주요 기능과 용어를 설명하고 서비스 액세스 및 사용 방법을 검토하며 데모를 제공합니다.
이 시험은 AWS 플랫폼 보안과 관련된 기술 전문성을 테스트합니다. 이 시험은 보안 업무에 숙련된 사람을 위한 시험입니다.