View a markdown version of this page

포렌식 워크스테이션 시작 - AWS 보안 인시던트 대응 가이드
인스턴스 유형 및 위치

포렌식 워크스테이션 시작

일부 인시던트 대응 활동에는 인시던트와 관련된 디스크 이미지, 파일 시스템, RAM 덤프 또는 기타 아티팩트를 분석하는 것이 포함될 수 있습니다. 많은 고객이 영향을 받는 데이터 볼륨(EBS 스냅샷이라고 함)의 복사본을 탑재하는 데 사용할 수 있는 맞춤형 포렌식 워크스테이션을 구축합니다. 이를 위해서는 다음과 같은 기본 단계를 따릅니다.

  1. 포렌식 워크스테이션으로 사용할 수 있는 기본 Amazon Machine Image(AMI)(예: Linux 또는 Microsoft Windows)를 선택합니다.

  2. 해당 기본 AMI에서 Amazon EC2 인스턴스를 시작합니다.

  3. 운영 체제를 강화하고 불필요한 소프트웨어 패키지를 제거하고 관련 감사 및 로깅 메커니즘을 구성합니다.

  4. 선호하는 오픈 소스 또는 프라이빗 도구 키트 제품군과 필요한 공급 업체 소프트웨어 및 패키지를 설치합니다.

  5. Amazon EC2 인스턴스를 중지하고 중지된 인스턴스에서 새 AMI를 생성합니다.

  6. 주간 또는 월간 프로세스를 생성하여 최신 소프트웨어 패치로 AMI를 업데이트하고 다시 구축합니다.

AMI를 사용하여 포렌식 시스템을 프로비저닝한 후 인시던트 대응 팀은 이 템플릿을 사용하여 새 AMI를 생성하여 각 조사에 대해 새 포렌식 워크스테이션을 시작할 수 있습니다. AMI를 Amazon EC2 인스턴스로 시작하는 프로세스를 미리 구성하여 배포 프로세스를 간소화할 수 있습니다. 예를 들어 필요한 포렌식 인프라 리소스를 텍스트 파일로 저장해 템플릿을 생성하고 AWS CloudFormation을 사용하여 AWS 계정에 배포할 수 있습니다.

템플릿을 통해 리소스를 신속하게 배포할 수 있다면 잘 훈련된 포렌식 전문가가 인프라를 재사용하는 대신 각 조사에 새로운 포렌식 워크스테이션을 사용할 수 있습니다. 이 과정을 통해 다른 포렌식 조사에서 교차 오염이 없는지 확인할 수 있습니다.

인스턴스 유형 및 위치

Amazon EC2는 각 사용 사례에 맞게 최적화된 다양한 인스턴스 유형을 제공합니다. 인스턴스 유형은 CPU, 메모리, 스토리지 및 네트워킹 용량의 다양한 조합으로 구성되며, 애플리케이션에 따라 적합한 리소스 조합을 선택할 수 있는 유연성을 제공합니다. 대부분의 인스턴스 유형에는 여러 인스턴스 크기가 포함되므로 대상 워크로드의 요구 사항에 맞게 리소스 규모를 조정할 수 있습니다. 인시던트 대응 인스턴스의 경우 프로덕션 인스턴스를 실행하는 네트워크의 위치 및 세분화에 대한 회사의 GRC 정책을 따릅니다.

AWS의 향상된 네트워킹에서는 지원되는 인스턴스 유형에서 단일 루트 I/O 가상화(SR-IOV)를 사용하여 고성능 네트워킹 기능을 제공합니다. SR-IOV는 기존 가상 네트워크 인터페이스에 비해 높은 I/O 성능 및 낮은 CPU 사용률을 제공하는 디바이스 가상화 방법입니다. 향상된 네트워킹을 통해 대역폭과 PPS(Packet Per Second) 성능이 높아지고, 인스턴스 간 대기 시간이 지속적으로 낮아집니다. 향상된 네트워킹 사용에 따르는 추가 요금은 없습니다. 10Gbps 또는 25Gbps의 네트워크 속도와 기타 고급 기능을 지원하는 인스턴스 유형에 대한 자세한 내용은 Amazon EC2 인스턴스 유형 단원을 참조하세요.