EC2 인스턴스에 대한 노출 문제 해결 - AWSSecurity Hub
EC2 인스턴스의 잘못된 구성 특성EC2 인스턴스의 연결성 특성EC2 인스턴스의 취약성 특성EC2 인스턴스에 악성 소프트웨어 패키지가 있음EC2 인스턴스에 악성 파일이 있음

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

EC2 인스턴스에 대한 노출 문제 해결

AWSSecurity Hub는 Amazon Elastic Compute Cloud(EC2) 인스턴스에 대한 노출 조사 결과를 생성할 수 있습니다.

Security Hub 콘솔에서 노출 조사 결과와 관련된 EC2 인스턴스 및 해당 식별 정보가 조사 결과 세부 정보의 리소스 섹션에 나열됩니다. 프로그래밍 방식으로 Security Hub CSPM API의 GetFindingsV2 작업을 통해 리소스 세부 정보를 검색할 수 있습니다.

노출 조사 결과와 관련된 리소스를 식별한 후 필요하지 않은 경우 리소스를 삭제할 수 있습니다. 필수적이지 않은 리소스를 삭제하면 노출 프로필과 AWS비용을 줄일 수 있습니다. 리소스가 필수적인 경우 다음 권장 문제 해결 단계를 수행하여 위험을 완화하세요. 문제 해결 주제는 특성 유형에 따라 구분됩니다.

단일 노출 조사 결과에는 여러 문제 해결 주제에서 식별된 문제가 포함됩니다. 반대로, 하나의 문제 해결 주제만 처리하여 노출 조사 결과를 해결하고 심각도 수준을 낮출 수 있습니다. 위험 문제 해결에 대한 접근 방식은 조직의 요구 사항 및 워크로드에 따라 달라집니다.

참고

이 주제에 제공된 문제 해결 지침은 다른 AWS리소스에서 추가 상담이 필요할 수 있습니다.

EC2 인스턴스의 잘못된 구성 특성

다음은 EC2 인스턴스의 잘못된 구성 특성 및 제안된 문제 해결 단계입니다.

EC2 인스턴스는 버전 1을 사용하여 IMDS에 대한 액세스를 허용합니다.

인스턴스 메타데이터는 애플리케이션이 실행 중인 인스턴스를 구성 또는 관리하는 데 사용될 수 있는 Amazon EC2 인스턴스에 대한 데이터입니다. 인스턴스 메타데이터 서비스(IMDS)는 인스턴스의 코드가 인스턴스 메타데이터에 안전하게 액세스하기 위해 사용하는 온 인스턴스 구성 요소입니다. IMDS는 제대로 보호되지 않을 경우 임시 자격 증명 및 기타 민감한 구성 데이터에 대한 액세스를 제공하므로 잠재적인 공격 벡터가 될 수 있습니다. IMDSv2는 메타데이터 요청에 세션 토큰을 요구하고 세션 기간을 제한하는 세션 기반 인증을 통해 악용에 대한 더 강력한 보호를 제공합니다. 표준 보안 원칙에 따라 IMDSv2를 사용하고 IMDSv1을 비활성화하도록 Amazon EC2 인스턴스를 구성하는 것이 AWS좋습니다. IMDSv2 IMDSv1

애플리케이션 호환성 테스트

IMDSv2를 구현하기 전에 인스턴스를 테스트하여 IMDSv2와의 호환성을 확인합니다. 일부 애플리케이션 또는 스크립트는 핵심 기능에 IMDSv1이 필요하고 추가 구성이 필요할 수 있습니다. 애플리케이션 호환성을 테스트하기 위한 도구 및 권장 경로에 대한 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서인스턴스 메타데이터 서비스 버전 2 사용으로 전환을 참조하세요.

IMDSv2를 사용하도록 인스턴스 업데이트

IMDSv2를 사용하도록 기존 인스턴스를 수정합니다. 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서기존 인스턴스에 대한 인스턴스 메타데이터 옵션 수정을 참조하세요.

Auto Scaling 그룹의 인스턴스에 업데이트 적용

인스턴스가 Auto Scaling 그룹에 속하는 경우 시작 템플릿 또는 시작 구성을 새 구성으로 업데이트하고 인스턴스 새로 고침을 수행합니다.

Amazon EC2 인스턴스와 연결된 IAM 역할에는 관리 액세스 정책이 있습니다.

관리 액세스 정책은 Amazon EC2 인스턴스에 AWS 서비스및 리소스에 대한 광범위한 권한을 제공합니다. 이러한 정책에는 일반적으로 인스턴스 기능에 필요하지 않은 권한이 포함됩니다. IAM ID에 (인스턴스 프로파일에 연결된 역할에 필요한 최소 권한 집합 대신) Amazon EC2 인스턴스에 대한 관리 액세스 정책을 제공하면 Amazon EC2 인스턴스가 손상된 경우 공격 범위가 증가할 수 있습니다. 인스턴스가 손상되면 공격자는 이러한 과도한 권한을 활용하여 환경 내부에서 이동하거나, 데이터에 액세스하거나, 리소스를 조작할 수 있습니다. 표준 보안 원칙에 따라 최소 권한, 즉 태스크를 수행하는 데 필요한 권한만 부여할 것을 권장합니다.

관리 정책 검토 및 식별

IAM 대시보드에서 역할 이름을 가진 역할을 찾습니다. IAM 역할에 연결된 권한 정책을 검토합니다. 정책이 AWS관리형 정책인 경우 AdministratorAccess 또는를 찾습니다IAMFullAccess. 그렇지 않으면 정책 문에서 "Effect": "Allow", "Action": "*""Resource": "*"가 포함된 문을 찾습니다.

최소 권한 액세스 구현

관리 정책을 인스턴스가 작동하는 데 필요한 특정 권한만 부여하는 정책으로 바꿉니다. IAM 역할 보안 모범 사례에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서의 보안 모범 사례에서 최소 권한 적용을 참조하세요. 불필요한 권한을 식별하려면 IAM Access Analyzer를 사용하여 액세스 기록을 기반으로 정책을 수정하는 방법을 이해할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서외부 및 미사용 액세스에 대한 조사 결과를 참조하세요. 또는 기존 역할을 사용하는 다른 애플리케이션에 영향을 주지 않도록 새 IAM 역할을 생성할 수 있습니다. 이 시나리오에서는 새 IAM 역할을 생성한 다음 인스턴스와 연결합니다. 인스턴스의 IAM 역할을 교체하는 방법에 대한 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서인스턴스에 IAM 역할 연결을 참조하세요.

보안 구성 고려 사항

인스턴스에 서비스 수준 관리 권한이 필요한 경우 위험을 완화하기 위해 다음과 같은 추가 보안 제어를 구현하는 것이 좋습니다.

  • 보안 구성 고려 사항

    • 다중 인증(MFA) - MFA는 추가 형식의 인증을 요구하여 보안 계층을 추가합니다. 그러면 자격 증명이 침해되더라도 무단 액세스를 방지할 수 있습니다. 자세한 내용은 AWS Identity and Access Management IAM 사용자 설명서다중 인증(MFA) 필요를 참조하세요.

    • IAM 조건 - 조건 요소를 설정하면 소스 IP 또는 MFA 수명과 같은 요인에 따라 관리 권한을 사용할 수 있는 시기 및 방법을 제한할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서IAM 정책의 조건을 사용하여 액세스 추가 제한을 참조하세요.

    • 권한 경계 - 권한 경계는 역할이 가질 수 있는 최대 권한을 설정하여 관리 액세스 권한이 있는 역할에 대한 가드레일을 제공합니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서권한 경계를 사용하여 계정 내에서 권한 관리 위임을 참조하세요.

Auto Scaling 그룹의 인스턴스에 업데이트 적용

AWSAuto Scaling 그룹의 Amazon EC2 인스턴스의 경우 새 인스턴스 프로파일로 시작 템플릿 또는 시작 구성을 업데이트하고 인스턴스 새로 고침을 수행합니다. 시작 템플릿 업데이트에 대한 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서시작 템플릿 수정(시작 템플릿 버전 관리)을 참조하세요. 자세한 내용은 인스턴스 새로 고침을 사용하여 Auto Scaling 그룹의 인스턴스 업데이트를 참조하세요. Auto Scaling 그룹에서 IAM 역할을 사용하는 방법에 대한 자세한 내용은 Amazon EC2 Auto Scaling 사용 설명서Amazon EC2 인스턴스에서 실행되는 애플리케이션의 IAM 역할을 참조하세요.

Amazon EC2 인스턴스와 연결된 IAM 역할에는 서비스 관리자 정책이 있습니다.

서비스 액세스 정책은 Amazon EC2 인스턴스에 AWS서비스 및 리소스에 대한 광범위한 권한을 제공합니다. 이러한 정책에는 일반적으로 인스턴스 기능에 필요하지 않은 권한이 포함됩니다. IAM ID에 (인스턴스 프로파일에 연결된 역할에 필요한 최소 권한 집합 대신) Amazon EC2 인스턴스에 대한 관리 액세스 정책을 제공하면 인스턴스가 손상된 경우 공격 범위가 증가할 수 있습니다. 표준 보안 원칙에 따라 최소 권한, 즉 태스크를 수행하는 데 필요한 권한만 부여할 것을 권장합니다.

관리 정책 검토 및 식별

IAM 대시보드에서 역할 이름을 가진 역할을 찾습니다. IAM 역할에 연결된 권한 정책을 검토합니다. 정책이 AWS관리형 정책인 경우 AdministratorAccess 또는를 찾습니다IAMFullAccess. 그렇지 않으면 정책 문에서 "Effect": "Allow", "Action": "*""Resource": "*"가 포함된 문을 찾습니다.

최소 권한 액세스 구현

서비스 관리자 정책을 인스턴스가 작동하는 데 필요한 특정 권한만 부여하는 정책으로 바꿉니다. IAM 역할 보안 모범 사례에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서의 보안 모범 사례에서 최소 권한 적용을 참조하세요. 불필요한 권한을 식별하려면 IAM Access Analyzer를 사용하여 액세스 기록을 기반으로 정책을 수정하는 방법을 이해할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서외부 및 미사용 액세스에 대한 조사 결과를 참조하세요. 또는 기존 역할을 사용하는 다른 애플리케이션에 영향을 주지 않도록 새 IAM 역할을 생성할 수 있습니다. 이 시나리오에서는 새 IAM 역할을 생성한 다음 인스턴스와 연결합니다. 인스턴스의 IAM 역할을 교체하는 방법에 대한 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서인스턴스에 IAM 역할 연결을 참조하세요.

보안 구성 고려 사항

인스턴스에 서비스 수준 관리 권한이 필요한 경우 위험을 완화하기 위해 다음과 같은 추가 보안 제어를 구현하는 것이 좋습니다.

보안 구성 고려 사항

인스턴스에 서비스 수준 관리 권한이 필요한 경우 위험을 완화하기 위해 다음과 같은 추가 보안 제어를 구현하는 것이 좋습니다.

  • 다중 인증(MFA) - MFA는 추가 형식의 인증을 요구하여 보안 계층을 추가합니다. 그러면 자격 증명이 침해되더라도 무단 액세스를 방지할 수 있습니다. 자세한 내용은 AWS Identity and Access Management IAM 사용자 설명서다중 인증(MFA) 필요를 참조하세요.

  • IAM 조건 - 조건 요소를 설정하면 소스 IP 또는 MFA 수명과 같은 요인에 따라 관리 권한을 사용할 수 있는 시기 및 방법을 제한할 수 있습니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서IAM 정책의 조건을 사용하여 액세스 추가 제한을 참조하세요.

  • 권한 경계 - 권한 경계는 역할이 가질 수 있는 최대 권한을 설정하여 관리 액세스 권한이 있는 역할에 대한 가드레일을 제공합니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서권한 경계를 사용하여 계정 내에서 권한 관리 위임을 참조하세요.

Auto Scaling 그룹의 인스턴스에 업데이트 적용

AWSAuto Scaling 그룹의 Amazon EC2 인스턴스의 경우 새 인스턴스 프로파일로 시작 템플릿 또는 시작 구성을 업데이트하고 인스턴스 새로 고침을 수행합니다. 시작 템플릿 업데이트에 대한 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서시작 템플릿 수정(시작 템플릿 버전 관리)을 참조하세요. 자세한 내용은 인스턴스 새로 고침을 사용하여 Auto Scaling 그룹의 인스턴스 업데이트를 참조하세요. Auto Scaling 그룹에서 IAM 역할을 사용하는 방법에 대한 자세한 내용은 Amazon EC2 Auto Scaling 사용 설명서Amazon EC2 인스턴스에서 실행되는 애플리케이션의 IAM 역할을 참조하세요.

Amazon EC2 인스턴스에는 SSH 또는 RDP 액세스를 허용하는 보안 그룹 또는 네트워크 ACL이 있습니다

SSH 및 RDP와 같은 원격 액세스 프로토콜을 사용하면 사용자가 외부 위치에서 Amazon EC2 인스턴스에 연결하고 관리할 수 있습니다. 보안 그룹이 인터넷에서 이러한 프로토콜에 대한 무제한 액세스를 허용하면 인스턴스에 대한 인터넷 액세스가 가능하여 Amazon EC2 인스턴스의 공격 표면이 증가합니다. 표준 보안 원칙에 따라 원격 액세스를 신뢰할 수 있는 특정 IP 주소 또는 범위로 제한하는 것이 AWS좋습니다.

  1. 보안 그룹 규칙 수정

    Amazon EC2 인스턴스에 대한 액세스를 신뢰할 수 있는 특정 IP 주소로 제한합니다. SSH 및 RDP 액세스를 신뢰할 수 있는 특정 IP 주소로 제한하거나 CIDR 표기법을 사용하여 IP 범위(예: 198.168.1.0/24)를 지정합니다. 보안 그룹 규칙을 수정하려면 Amazon Elastic Compute Cloud 사용 설명서보안 그룹 규칙 구성을 참조하세요.

Amazon EC2 인스턴스에 개방형 보안 그룹이 있음

보안 그룹은 Amazon EC2 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽 역할을 합니다. 모든 IP 주소로부터 무제한 액세스를 허용하는 개방형 보안 그룹은 인스턴스를 무단 액세스에 노출시킬 수 있습니다. 표준 보안 원칙에 따라 보안 그룹 액세스를 특정 IP 주소 및 포트로 제한하는 것이 AWS좋습니다.

보안 그룹 규칙 검토 및 현재 구성 평가

(0.0.0.0/0 or ::/0)과 같은 광범위한 IP 범위에서 액세스할 수 있는 개방 포트를 평가합니다. 보안 그룹 세부 정보를 보는 방법에 대한 지침은 Porting Assistant for .NET API 참조DescribeSecurityGroups를 참조하세요.

보안 그룹 규칙 수정

보안 그룹 규칙을 수정하여 액세스를 신뢰할 수 있는 특정 IP 주소 또는 범위로 제한합니다. 보안 그룹 규칙을 업데이트할 때는 각 필수 소스 IP 범위에 대한 규칙을 생성하거나 특정 포트에 대한 액세스를 제한하여 네트워크 세그먼트마다 액세스 요구 사항을 분리하는 것이 좋습니다. 보안 그룹 규칙을 수정하려면 Amazon EC2 사용 설명서보안 그룹 규칙 구성을 참조하세요.

EC2 인스턴스의 연결성 특성

다음은 EC2 인스턴스의 연결성 특성 및 제안된 문제 해결 단계입니다.

EC2 인스턴스는 인터넷을 통해 연결할 수 있습니다

인터넷 게이트웨이(Application Load Balancer 또는 Classic Load Balancer 뒤에 있는 인스턴스 포함), VPC 피어링 연결 또는 VPN 가상 게이트웨이를 통통해 인터넷에서 연결할 수 있는 포트가 있는 Amazon EC2 인스턴스는 인터넷에 노출될 수 있습니다. 표준 보안 원칙에 따라 인바운드 트래픽을 필요한 소스 및 포트로만 제한하여 최소 권한 네트워크 액세스 제어를 구현하는 것을 권장합니다.

보안 그룹 규칙 수정 또는 제어

리소스 탭에서 Amazon EC2 보안 그룹의 리소스를 엽니다. 인스턴스가 작동하는 데 인터넷 액세스가 필요한지 검토합니다. 무제한 액세스(0.0.0.0/0 또는 ::/0)를 허용하는 인바운드 보안 그룹 규칙을 수정하거나 제거합니다. 특정 IP 범위 또는 보안 그룹을 기반으로 보다 제한적인 규칙을 구현합니다. 제한된 퍼블릭 액세스가 필요한 경우 인스턴스의 기능에 필요한 특정 포트 및 프로토콜로 액세스를 제한합니다. 보안 그룹 규칙 관리에 대한 지침은 Amazon EC2 사용 설명서보안 그룹 규칙 구성을 참조하세요.

네트워크 ACL 업데이트

인스턴스의 서브넷과 연결된 네트워크 액세스 제어 목록(ACL)을 검토하고 수정합니다. ACL 설정이 보안 그룹 변경 사항과 일치하는지, 의도치 않게 퍼블릭 액세스를 허용하지 않는지 확인합니다. 네트워크 ACL 수정에 대한 지침은 Amazon VPC 사용 설명서네트워크 ACL 작업을 참조하세요.

대체 액세스 방법

대체 액세스 방법에 대해 다음 옵션을 고려하세요.

  • 아웃바운드 인터넷 연결에 NAT 게이트웨이 사용 – 프라이빗 서브넷의 인스턴스가 인터넷에 액세스해야 하는 경우(예: 업데이트 다운로드) 퍼블릭 IP 주소를 할당하는 대신 NAT 게이트웨이를 사용하는 것이 좋습니다. NAT 게이트웨이를 사용하면 프라이빗 서브넷의 인스턴스가 인터넷으로의 아웃바운드 연결을 시작하는 동시에 인터넷으로부터의 인바운드 연결을 방지할 수 있습니다.

  • Systems Manager Session Manager 사용 - Session Manager는 인바운드 포트, SSH 키 관리 또는 배스천 호스트 유지 관리 없이 Amazon EC2 인스턴스에 대한 보안 쉘 액세스를 제공합니다.

  • WAF 및 ELB 또는 Application Load Balancer 사용 - 웹 애플리케이션을 실행하는 인스턴스의 경우 AWS웹 애플리케이션 방화벽(WAF)과 결합된 LB를 사용하는 것이 좋습니다. 인스턴스가 프라이빗 서브넷에서 실행되는 동안 LB가 퍼블릭 서브넷에서 실행되어 인터넷 트래픽을 처리하도록 LB를 구성할 수 있습니다. 로드 밸런서에 WAF를 추가하면 웹 악용 및 봇에 대한 추가 보호 기능이 제공됩니다.

Amazon VPC 내에서 Amazon EC2 인스턴스에 연결할 수 있음

Amazon Virtual Private Cloud(Amazon VPC)를 사용하면 정의된 가상 네트워크에서 AWS리소스를 시작할 수 있습니다. 인스턴스 간 무제한 액세스를 허용하는 Amazon VPC 네트워크 구성은 인스턴스가 손상된 경우 공격 범위를 증가시킬 수 있습니다. 보안 모범 사례에 따라는 서브넷 및 보안 그룹 수준에서 네트워크 세분화 및 최소 권한 액세스 제어를 구현하는 것을 AWS권장합니다.

Amazon VPC 네트워크 연결 패턴 검토

노출 조사 결과에서 ARN의 보안 그룹 ID를 식별합니다. 어떤 인스턴스가 서로 통신해야 하고 어떤 포트에서 통신해야 하는지 식별합니다. Amazon VPC 흐름 로그를 사용하여 Amazon VPC의 기존 트래픽 패턴을 분석하면 사용 중인 포트를 식별할 수 있습니다.

보안 그룹 규칙 수정

보안 그룹 규칙을 수정하여 액세스를 신뢰할 수 있는 특정 IP 주소 또는 범위로 제한합니다. 예를 들어 전체 VPC CIDR 범위(예: 10.0.0.0/16)의 모든 트래픽을 허용하는 대신 특정 보안 그룹 또는 IP 범위로 액세스를 제한합니다. 보안 그룹 규칙을 업데이트할 때는 각 필수 소스 IP 범위에 대한 규칙을 생성하거나 특정 포트에 대한 액세스를 제한하여 네트워크 세그먼트마다 액세스 요구 사항을 분리하는 것이 좋습니다. 보안 그룹 규칙을 수정하려면 Amazon EC2 사용 설명서의 보안 그룹 규칙 구성을 참조하세요.

보안 요구 사항 또는 기능에 따라 Amazon VPC 리소스를 서브넷으로 구성하는 것이 좋습니다. 예를 들어 웹 서버와 데이터베이스 서버를 별도의 서브넷에 배치합니다. 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서VPC의 서브넷을 참조하세요.

서브넷 수준 보호를 위한 네트워크 ACL 구성

네트워크 액세스 제어 목록(NACL)은 서브넷 수준에서 추가 보안 계층을 제공합니다. 보안 그룹과 달리 NACL은 상태 비저장이며 인바운드 및 아웃바운드 규칙을 모두 명시적으로 정의해야 합니다. 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서네트워크 액세스 제어 목록으로 서브넷 트래픽 제어를 참조하세요.

추가 고려 사항

Amazon VPC에 대한 액세스를 제한할 때 다음 사항을 고려하세요

  • 제한적인 라우팅을 사용하는 Transit Gateway 또는 Amazon VPC 피어링 - 아키텍처에서 통신해야 하는 여러 VPCs를 사용하는 경우 AWSTransit Gateway 및 Amazon VPC 피어링을 사용하여 Amazon VPCs 간에 연결을 제공하는 동시에 서로 통신할 수 있는 서브넷을 제어할 수 있습니다. 자세한 내용은 Amazon VPC Transit Gateway 사용 시작VPC 피어링 연결을 참조하세요.

  • 서비스 엔드포인트 및 프라이빗 링크 - Amazon VPC 엔드포인트를 사용하여 AWS네트워크 내에서 트래픽을 유지하여 인터넷이 아닌 AWS리소스와 통신할 수 있습니다. 이렇게 하면 동일한 서비스에 액세스하는 인스턴스 간에 직접 연결할 필요가 줄어듭니다. VPC 엔드포인트에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서Amazon VPC 엔드포인트란 무엇인가요?를 참조하세요. 다른 Amazon VPCs에서 호스팅되는 서비스에 연결하려면를 사용하는 것이 좋습니다AWS PrivateLink.

EC2 인스턴스의 취약성 특성

다음은 EC2 인스턴스의 취약성 특성 및 제안된 문제 해결 단계입니다.

EC2 인스턴스에 악용 가능성이 높은 네트워크 탐색 가능 소프트웨어 취약성이 있음

EC2 인스턴스에 설치된 소프트웨어 패키지는 일반 취약성 및 노출(CVE)에 노출될 수 있습니다. 중요 CVEs AWS환경에 심각한 보안 위험을 초래합니다. 권한이 없는 위탁자는 이러한 패치되지 않은 취약성을 악용하여 데이터의 기밀성, 무결성 또는 가용성을 손상시키거나 다른 시스템에 액세스할 수 있습니다. 악용 가능성이 높은 심각한 취약성은 악용 코드가 이미 공개되어 있고 공격자 또는 자동 스캔 도구가 이를 적극적으로 사용할 수 있으므로 즉각적인 보안 위협을 나타냅니다. 이러한 취약성을 패치하여 인스턴스를 보호할 것을 권장합니다.

영향을 받는 인스턴스 업데이트

특성의 취약성 탭에서 참조 섹션을 검토합니다. 공급업체 설명서에는 특정 문제 해결 지침이 포함될 수 있습니다. 다음 일반 지침을 사용하여 적절한 문제 해결을 따르세요.

Systems Manager Patch Manager를 사용하여 운영 체제와 애플리케이션 모두에 패치를 적용합니다. Patch Manager는 대규모 인스턴스 그룹에서 운영 체제 및 소프트웨어 패치를 자동으로 선택하고 배포하는 데 도움이 됩니다. Patch Manager를 구성하지 않은 경우 영향을 받는 각 인스턴스에서 운영 체제를 수동으로 업데이트합니다.

공급업체의 권장 절차에 따라 영향을 받는 애플리케이션을 최신 보안 버전으로 업데이트합니다. 여러 인스턴스에서 애플리케이션 업데이트를 관리하려면 Systems Manager State Manager를 사용하여 소프트웨어를 일관된 상태로 유지하는 것이 좋습니다. 업데이트를 사용할 수 없는 경우 패치가 릴리스되거나 애플리케이션에 대한 네트워크 액세스 제한 또는 취약한 기능 비활성화와 같은 다른 완화 조치가 있을 때까지 취약한 애플리케이션을 제거하거나 비활성화하는 것이 좋습니다.

Amazon Inspector 조사 결과에 제공된 특정 문제 해결 조언을 따릅니다. 여기에는 보안 그룹 규칙 변경, 인스턴스 구성 수정 또는 애플리케이션 설정 조정이 포함될 수 있습니다.

인스턴스가 Auto Scaling 그룹의 일부인지 확인합니다. AMI 교체 패치는 Auto Scaling 그룹에 새 Amazon EC2 인스턴스를 배포하도록 구성된 AMI ID를 업데이트하여 변경 불가능한 인프라에서 수행됩니다. 사용자 지정/골든 AMI를 사용하는 경우 새 AMI로 인스턴스를 생성한 다음 인스턴스를 사용자 지정하고 새 골든 AMI를 생성합니다. 자세한 내용은 AMI 업데이트 패치 적용(Auto Scaling 그룹에 패치된 AMI 사용)을 참조하세요.

향후 고려 사항

향후 취약성 발생을 방지하려면 취약성 관리 프로그램을 구현하는 것이 좋습니다. 인스턴스에서 CVE를 자동으로 스캔하도록 Amazon Inspector를 구성할 수 있습니다. 또한 자동 문제 해결을 위해 Amazon Inspector를 Security Hub와 통합할 수도 있습니다. 인스턴스 중단을 최소화하려면 Systems Manager Maintenance Windows를 사용하여 정기적인 패치 적용 일정을 구현하는 것이 좋습니다.

Amazon EC2 인스턴스에 소프트웨어 취약성이 있음

Amazon EC2 인스턴스에 설치된 소프트웨어 패키지는 일반적인 취약성 및 노출(CVEs. 비중요 CVE는 중요 CVE에 비해 심각도 또는 악용 가능성이 낮은 보안 약점을 나타냅니다. 이러한 취약점은 즉각적인 위험을 초래하지는 않지만, 공격자는 이러한 패치되지 않은 취약성을 악용하여 데이터의 기밀성, 무결성 또는 가용성을 손상시키거나 다른 시스템에 액세스할 수 있습니다. 보안 모범 사례에 따라는 이러한 취약성을 패치하여 공격으로부터 인스턴스를 보호하는 것이 AWS좋습니다.

영향을 받는 인스턴스 업데이트

AWSSystems Manager Patch Manager를 사용하여 운영 체제에 패치를 적용합니다. Patch Manager는 대규모 인스턴스 그룹에서 운영 체제 및 소프트웨어 패치를 자동으로 선택하고 배포하는 데 도움이 됩니다. Patch Manager를 구성하지 않은 경우 영향을 받는 각 인스턴스에서 운영 체제를 수동으로 업데이트합니다.

공급업체의 권장 절차에 따라 영향을 받는 애플리케이션을 최신 보안 버전으로 업데이트합니다. 여러 인스턴스에서 애플리케이션 업데이트를 관리하려면 AWSSystems Manager State Manager를 사용하여 소프트웨어를 일관된 상태로 유지하는 것이 좋습니다. 업데이트를 사용할 수 없는 경우 패치가 릴리스되거나 애플리케이션에 대한 네트워크 액세스 제한 또는 취약한 기능 비활성화와 같은 다른 완화 조치가 있을 때까지 취약한 애플리케이션을 제거하거나 비활성화하는 것이 좋습니다.

Amazon Inspector 조사 결과에 제공된 특정 문제 해결 조언을 따릅니다. 여기에는 보안 그룹 규칙 변경, 인스턴스 구성 수정 또는 애플리케이션 설정 조정이 포함될 수 있습니다.

인스턴스가 Auto Scaling 그룹의 일부인지 확인합니다. AMI 교체 패치는 Auto Scaling 그룹에 새 Amazon EC2 인스턴스를 배포하도록 구성된 AMI ID를 업데이트하여 변경 불가능한 인프라에서 수행됩니다. 사용자 지정/골든 AMI를 사용하는 경우 새 AMI로 인스턴스를 생성한 다음 인스턴스를 사용자 지정하고 새 골든 AMI를 생성합니다. 자세한 내용은 AMI 업데이트 패치 적용(Auto Scaling 그룹에 패치된 AMI 사용)을 참조하세요.

향후 고려 사항

향후 취약성 발생을 방지하려면 취약성 관리 프로그램을 구현하는 것이 좋습니다. 인스턴스에서 CVE를 자동으로 스캔하도록 Amazon Inspector를 구성할 수 있습니다. 또한 자동 문제 해결을 위해 Amazon Inspector를 Security Hub와 통합할 수도 있습니다. 인스턴스 중단을 최소화하려면 Systems Manager Maintenance Windows를 사용하여 정기적인 패치 적용 일정을 구현하는 것이 좋습니다.

EC2 인스턴스에는 End-Of-Life 운영 체제가 있습니다.

EC2 인스턴스는 원래 개발자가 더 이상 지원하지 않거나 유지 관리하지 않는 end-of-life 운영 체제를 실행합니다. 이렇게 하면 인스턴스가 보안 취약성 및 잠재적 공격에 노출됩니다. 운영 체제end-of-life하면 공급업체는 일반적으로 새 보안 권고 릴리스를 중지합니다. 공급업체 피드에서 기존 보안 권고를 제거할 수도 있습니다. 따라서 Amazon InspectorCVEs에 대한 결과 생성을 잠재적으로 중지하여 보안 적용 범위에 추가 격차를 초래할 수 있습니다.

Amazon Inspector에서 감지할 수 있는 수명이 다한 운영 체제에 대한 자세한 내용은 Amazon Inspector 사용 설명서의 중단된 운영 체제를 참조하세요. Amazon Inspector

지원되는 운영 체제 버전으로 업데이트

지원되는 운영 체제 버전으로 업데이트하는 것이 좋습니다. 노출 조사 결과에서 리소스를 열어 영향을 받는 리소스에 액세스합니다. 인스턴스에서 운영 체제 버전을 업데이트하기 전에 Amazon Inspector 사용 설명서지원되는 운영 체제에서 사용 가능한 버전을 검토하여 현재 지원되는 OS 버전 목록을 확인하세요.

EC2 인스턴스에 악성 소프트웨어 패키지가 있음

악성 패키지는 시스템 및 데이터의 기밀성, 무결성 및 가용성을 손상시키도록 설계된 유해한 코드가 포함된 소프트웨어 구성 요소입니다. 공격자가 취약성을 악용하지 않고 악성 코드를 자동으로 실행할 수 있기 때문에 악성 패키지는 인스턴스에 능동적이고 중요한 위협을 가합니다. 보안 모범 사례에 따라는 잠재적 공격으로부터 인스턴스를 보호하기 위해 악성 패키지를 제거하는 것을 AWS권장합니다.

악성 패키지 제거

특성의 취약성 탭에 있는 참조 섹션에서 악성 패키지 세부 정보를 검토하여 위협을 이해합니다. 적절한 패키지 관리자를 사용하여 식별된 악성 패키지를 제거합니다. 예제는 Amazon Linux 2023 사용 설명서패키지 관리 도구를 참조하세요. 악성 패키지를 제거한 후에는 스캔을 수행하여 악성 코드에 의해 설치되었을 수 있는 모든 패키지가 제거되었는지 확인하는 것이 좋습니다. 자세한 내용은의 GuardDuty에서 온디맨드 맬웨어 스캔 시작을 참조하세요.

EC2 인스턴스에 악성 파일이 있음

악성 파일에는 시스템 및 데이터의 기밀성, 무결성 및 가용성을 손상시키도록 설계된 유해한 코드가 포함되어 있습니다. 공격자는 취약성을 악용하지 않고 악성 코드를 자동으로 실행할 수 있으므로 악성 파일은 인스턴스에 활성적이고 중요한 위협을 가합니다. 보안 모범 사례에 따라는 잠재적 공격으로부터 인스턴스를 보호하기 위해 악성 파일을 제거하는 것이 AWS좋습니다.

악성 파일 제거

악성 파일이 있는 특정 Amazon Elastic Block Store(Amazon EBS) 볼륨을 식별하려면 특성의 결과 세부 정보의 리소스 섹션을 검토하세요. 악성 파일로 볼륨을 식별했으면 식별된 악성 파일을 제거합니다. 악성 파일을 제거한 후에는 스캔을 수행하여 악성 파일에 의해 설치되었을 수 있는 모든 파일이 제거되었는지 확인하는 것이 좋습니다. 자세한 내용은의 GuardDuty에서 온디맨드 맬웨어 스캔 시작을 참조하세요.