AWS re:Invent 2022 세션 후기 #16 – 보안

BLOG

작성일: 2022-12-01

[SEC201] Proactive security: Considerations and approaches

연사 : Sarah Berry, Eric Docktor

일시: 2022.11.29. 11:00 ~ 12:00

장소: Venetian, Level 3, Lido 3106

작성자 : 메가존클라우드 Enterprise Managed Svc Group 이수영 매니저

“서비스 팀은 그들의 서비스의 보안을 담당하고, AWS Security는 AWS의 보안을 맡는다”
AWS의 CISO인 CJ Moses가 한 말로 AWS Security에 대한 자부심이 엿보입니다.

이번 세션에서는 선제적 보안에 대해 고려해야할 사항과 접근 방식에 대해 알아 보았습니다.

보안 소유권 강화

“Two-pizza team”은 피자 두판을 나누어 먹을 때 피자가 남을 만큼 작은 규모의 팀을 말합니다.

팀이 작을수록 협업이 잘된다는 생각에서 시작된 것으로 팀에 서비스 소유권을 가져오고 사회적 제약을 최소화(Conway’s law)하며, 의사 결정에 대한 자율성을 유지하여 시장에 새로운 제품을 선보이거나 버그를 수정하는 상황에서 어느 때보다 빠르게 협업을 할 수 있다는 개념입니다.

사전 예방적 보안 임무

보안 문제가 있는 서비스는 고객을 만족시키지 못하지만, 출시되지 않은 서비스는 애초에 고객에게 서비스를 제공할 기회가 없습니다.

서비스 팀이 고객 환경에 맞춘 적절한 수준의 보안을 통해 일정에 맞추어 출시할 수 있도록 지원합니다.

고객 및 Builders 모두에게 제공되는 요소로는 ‘보안, Builders의 경험, 고객의 관념’이 있습니다.

그 중 Builder의 경험에 대해서는 위와 같은 소프트웨어 개발 라이프사이클과 보안 검토 프로세스가 있습니다.

우리는 적절하게 높은 보안 정책을 사용하여

일정에 따라 시작하는 것
개발 라이프사이클의 초기 단계에서 리스크 및 결과를 파악하는 것
검토 프로세스의 혼란 및 변동을 감소시키는 것

을 목표로 합니다.

AWS Guadians 프로그램을 통해 보안 업무를 Builder팀에 할당 하여 업무 프로세스의 시간을 단축할 수 있습니다.

Guardians vs. 보안 엔지니어

[Guardians]
AWS Secutiry Guardians의 목표는 보안의 오너십을 AWS Security 외부로 확장하는 것 입니다.

[보안 엔지니어]
사전에 대비할 수 있도록 교육을 받은 전문가인 보안 엔지니어는 고객과 AWS를 보호하기 위해 구축 업체가 초래하는 위험을 이해하고 최소화하도록 합니다.

Guardians program의 영향력

AWS는 보안을 ‘생각하는 방법’에 대해 약 2,000명의 소프트웨어 개발 엔지니어를 교육했습니다.
보안 리뷰에서는 AppSec 리뷰 중에 발견된 중간 및 높음 심각도 조사 결과가5% 감소하여 15,973건의 조사 결과가 감소했습니다.
보안 검토를 통해 전체 보안 검토 완료 시간을 9% 단축하여 총 210,216일 절감할 수 있었습니다.

그러면, 어떻게 시작하면 될까요?

다양한 Guardians를 식별하고 조직 목표를 설정
시작하는 데 필요한 기술과 멘토링을 통한 고객의 역량 강화
지속적인 지식 공유를 통한 커뮤니티 구축
Guardian 효과 측정, 보고 및 인식
질적 및 정량적 데이터를 사용하여 지속적인 피드백 메커니즘 구축

또한 더 큰 목표로는 아래의 항목들이 있습니다.

고객 데이터 보안을 위한 운영 안전, 보안 및 규정 준수 요구사항 충족 필요
AWS 전반에 걸쳐 운영 시스템 및 데이터에 대한 사용자 액세스 감소
모니터링, 경고 및 감사를 위한 표준화 기능 내장

Mechanic 이란 운영자가 직접 액세스하지 않고도 운영 호스트에서 명령을 실행할 수 있는 통합 운영 툴 입니다. Builders는 생산 리소스에 액세스하지 않고도 생산 리소스에 대한 조치를 취할 수 있어, 수행 중인 모든 조치가 검토, 테스트 및 승인되었습니다. Reporting UI은 어떤 툴이 실행되었고 누구에 의해 실행되었는지 보여줍니다.

그렇다면, 이건 어떻게 시작하면 될까요?

정체성으로 시작하라 : 인간을 시스템으로부터 멀리하자
단기 자격 증명을 판매하기 위한 요청/승인 메커니즘을 제공하자
반복 가능한 플레이북을 제작하여 운영 환경을 자동화하자
감사 및 검토를 통해 이견 사항을 파악하고 다음에 자동화할 항목을 결정하자

이를 향해 나아가려면 문제를 해결하기 위해 builder에 우선순위를 부여하는 조치를 제공하고, 구축업체를 대신하여 교정을 자동화하며, 오래된 종속성을 가진 Builders Team에게 알리는 것이 필요합니다.

Software assurance services에 대한 예시 화면입니다.

시작하기 위해서는

소프트웨어를 빌드하는 구성 요소 이해
개발자 환경에 따라 AWS 및 AWS Partner 도구 결합
자동화를 사용하여 사용 중인 패키지와 시기에 대한 가시성 제공
Builders가 올바른 패키지를 쉽게 사용할 수 있도록 지원

이 필요합니다.

Talos

빌더가 Talos 계약을 시작합니다.
Talos는 업체를 선정하여 서비스에 대해 배우고 관련 지침을 제공합니다. 업체는 Guardian과 함께 지침 및 검토를 구현합니다.
작성자가 검토를 위해 제출함
검토 및 펜 테스트
승인

보안 감시자의 효율성을 측정하기 위한 보안 검토 조사 마무리는 보안 계약 제출의 품질을 평가하고, 지정된 경우 보호자에게 피드백을 제공 합니다.

Builders’ experience metrics

빌드, 구현 및 프로덕션 지원 전반에서 수동으로 반복적인 작업을 제거할 때 구축 팀과 고위 관리자가 팀의 역량을 쉽게 확인할 수 있도록 아래와 같이 지원합니다.

팀이 사용하는 tool을 통하여 Builder 통찰력을 제공
조직 및 설문 조사에서 제기된 공통 관심사를 검토하기 위한 메커니즘 수립

그렇다면, 다음 단계로는 어떤 것들이 있을까요?
서비스를 구축하고 관리하면서 차별화되지 않은 부하의 위치를 파악하여 시스템에 대한 상호적인 액세스를 줄이고 자동화의 증가를 측정합니다. 또한 AWS Code Artifact 및 Amazon Inspect를 사용하여 구축하고 잠재적인 문제에 대한 가시성을 확보합니다.