BLOG

AWS IoT Device Defender, 감사 결과에 대한 완화 조치 지원
작성일: 2019년 8월 30일

이제 사용자는 AWS IoT Device Defender 감사에서 발견한 정보에 대해 새로운 행동을 취할 수 있게 되었습니다. 바로 감사 경보 응답을 자동화하는 감사 결과에 대해 완화 조치를 적용할 수 있다는 것인데요.

 

AWS IoT Device Defender 사용자들은 종종 AWS가 잠재적인 악성 디바이스(장치) 활동에 대해 가시성을 제공하는 방식이 매우 유용하다고 말해왔고, 그를 통해 다음과 같은 작업을 수행할 수 있습니다.

 

 

AWS의 감사 기능을 사용하면 모든 비 호환 디바이스의 AWS IoT 대시 보드에서 보고서를 참조 할 수 있습니다. 디바이스가 비 호환 상태가 되면 Amazon SNS 알림을 받습니다.

 

오늘 자 블로그 글에서는 기본 완화 작업을 선택하는 방법에 대해 설명해 드리겠습니다. 이를 통해 동시에 SNS를 사용하여 사용자 정의 응답을 작성할 수도 있습니다. 이용 가능한 완화 조치를 보시려면 경보 시나리오의 예제를 참고해 주십시오.

 

개요

AWS IoT Device Defender 콘솔로 이동하면 가장 먼저 눈에 띄는 것은 Mitigation actions(완화 조치)라는 Defend 아래의 새 탭입니다. 새로운 완화 조치를 작성하려면 Create을 선택하십시오.

 

AWS는 몇 가지 기본 완화 조치를 제공합니다.

 

  • 사물 그룹에 사물 추가
  • IoT 로깅 활성화 — 전역 IoT 로깅을 활성화하는 데 사용
  • SNS에 결과 게시
  • 기본 정책 버전 바꾸기 — 장치의 인증서 정책을 정책 없음(즉, 권한 없음)으로 바꾸는 데 사용
  • CA 인증서 업데이트 —CA 인증서를 비활성화하는 데 사용.
  • 장치 인증서 업데이트 — 장치 인증서를 비활성화하는 데 사용.

 

연습

이번 예제에서는 Thing Group 대시 보드에서 “Quarantine”이라는 새 그룹을 만듭니다. 그런 다음 두 가지 새로운 완화 조치를 작성하십시오.

 

  • 다음 구성으로 인증서를 완전히 비활성화하는 작업:
    • 활동 이름: Disable_Device
    • 작업 유형: 장치 인증서 업데이트
    • 작업 실행 역할: AWSIoTDeviceDefenderAuditRole
    • 동작: 비활성화
  • 다음 구성으로 “Quarantine”이라는 특수한 “thing” 그룹으로 항목을 이동하는 작업:
    • 작업 이름: Quarantine
    • 활동 유형: 사물 그룹에 사물 추가
    • 작업 실행 역할: AWSIoTDeviceDefenderAuditRole
    • 사물 그룹: 사물 그룹 선택
    • 동적 그룹 재정의: 이 옵션을 선택

 

검역 완화 조치의 대상으로 AWS IoT Device Defender에서 “Quarantine”이라는 새로운 사물 그룹이 선택되었습니다. 모든 동적 사물 그룹에서 사물을 제거하도록 완화 조치를 요청합니다. 동적 사물 그룹을 사용하여 AWS IoT 작업을 통해 OTA (Over-The-Air) 업데이트를 수행하는 경우 해당 작업을 사용할 수 있습니다. 이 경우엔 손상된 장치로 더 이상 데이터를 전송하지 않으려고 합니다.

 

모든 완화 조치에 대해, 수정 작업을 수행하는 데 필요한 권한과 함께 AWS IoT Device Defender에 역할을 부여해 줍니다(이 경우 AWSIoTDeviceDefenderAudit이라고 함). 완화 작업별 필요한 권한 목록은 AWS IoT Device Defender 도움말 설명서를 참고하십시오.

 

이제 테스트를 실행합니다. 본 예제에서는 동일한 인증 인증서로 두 개의 연결이 동시에 열려 있다고 가정합니다. 이는 장치가 잘못 프로비저닝되었거나 악의적인 행위자가 디바이스 또는 해당 키 쌍을 제어하고 있음을 의미할 수 있습니다.

 

일반적으로 기본값은 현재 상황을 확인할 때까지 인증서를 즉시 비활성화하는 것입니다. 그러나 디바이스에 버그가 있을 가능성이 있음으로 인증서를 삭제하지 않고 싶어 하실 겁니다. 그렇다면 이제 어떻게 할까요?

 

Audits results(감사 결과) 페이지에서 감사 결과를 심층적으로 분석하는 동안 하나의 비 준수 인증서가 공유되어 있음을 알 수 있습니다.

 

 

On-demand(주문형)을 선택하면 다음 스크린 샷과 같이 감사 결과의 세부 사항이 표시됩니다.

 

 

완화 조치 전에 두 가지 옵션이 있습니다.

  • 미준수 인증서를 수동으로 비활성화합니다.
  • AWS Lambda 함수를 통해 작업을 트리거 하는 SNS 알림을 사용하여 미준수 인증서를 비활성화합니다.

 

새로운 완화 조치를 사용하여 오른쪽 상단에서 Start mitigation actions(완화 조치 시작)를 선택합니다.

 

tart mitigation actions(완화 조치 시작)를 선택하면 호환 가능한 완화 작업과 함께 주의가 필요한 결과 범주가 표시되는 팝업이 나타납니다. Select actions for Device certificate shared(장치 인증서 공유에 대한 작업 선택) 아래에 세 가지 호환 가능한 완화 작업(검역, SNS에 게시 또는 인증서 비활성화)이 나타납니다.

 

이 문제를 해결하려면 하나 이상의 완화 조치를 선택하십시오. Select all(모두 선택)을 선택하여 모든 작업을 동시에 수행 할 수도 있습니다. 자, 이제 모든 과정이 끝났습니다!

 

결론

여러분들은 이제 새로운 완화 조치가 일반적인 IoT 보안 문제를 빠르고 쉽게 치료할 수 있는 수행 방법을 제공한다는 것을 알게 되셨을 겁니다. 이 완화 조치는 현재 AWS IoT Device Defender가 제공되는 모든 리전에서 사용할 수 있습니다.

 

디바이스 보안을 시작하는 방법에 대한 자세한 내용은 AWS IoT Device Defender 또는 Manage Security of Your IoT Devices with AWS IoT Device Defender 웨비나를 확인해 주시기 바랍니다.

 

 

원문: https://aws.amazon.com/ko/blogs/iot/announcing-mitigation-actions-for-aws-iot-device-defender/

** 메가존 클라우드 TechBlog는 AWS BLOG 영문 게재 글 중에서 한국 사용자들에게 유용한 정보 및 콘텐츠를 우선적으로 번역하여 내부 엔지니어 검수를 받아서, 정기적으로 게재하고 있습니다. 추가로 번역 및 게재를 희망하는 글에 대해서 관리자에게 메일 또는 SNS 페이지에 댓글을 남겨주시면, 우선적으로 번역해서 전달해드리도록 하겠습니다.