AWS Inspector Deep Dive - 활용편 AMI Factory, golden AMI pipeline
다음 사이트의 내용을 요약하며, 추가적인 자세한 사항은 직접 들어가서 확인 가능합니다.
https://vul-mgmt-program.awssecworkshops.com/
1. 개요
- 실습 목표:
AMI를 CIS 레벨 1과 호환되도록 구성하는 데 필요한 스크립트를 작성하고, AMI가 실제로 Amazon Inspector와 CIS를 준수하는지 확인하고, CVE 데이터베이스에서 취약점을 찾는다.
- 골든 AMI 파이프라인 개념도
아래 개념도를 보면 3번 과정에서 Amazon Inspector를 설치하고 평가하는 과정이 포함되어 있다. 평가 결과는 SSM Parameter Store에 요약 및 Inpector 평가 결과 접속 링크로 나타난다. 이와 같이 구성하면 골든 AMI 이미지 배포를 통해 인프라에 대한 초기 위협을 예방할 수 있다.
해당 사이트의 권고사항으로는 최소 30일마다 이 자동화를 실행해서 업데이트 및 패치가 적용 된 최신 이미지를 사용할 것을 권장하고 있다.
2. 배포 및 동작 방식
Cloudformation yaml 파일
yml 코드의 전체 과정을 요약하면 아래와 같다.
- 이 프로세스는 소스 AMI를 사용하고, 인스턴스를 생성하고, 패키지를 업데이트하고, 인스턴스를 강화하고 필요한 에이전트를 설치하기 위한 사용자 지정 코드를 실행합니다.
- 다음으로 인스턴스를 중지하고 중지된 인스턴스에서 이미지를 생성합니다.
- AMI의 보안 태세는 인스턴스의 보안 태세를 기반으로 평가될 수 있으므로 자동화는 새로 생성된 골든 AMI에서 EC2 인스턴스를 생성합니다.
- 그런 다음 EC2 인스턴스에 Amazon Inspector 에이전트를 설치하고 Amazon Inspector 평가를 트리거합니다. Amazon Inspector 평가 설정은 다음 규칙 패키지를 평가합니다.
이중에서 Inspector 관련 된 항목은 어떻게 동작하고 있는지 확인해자.
먼저 Inspector 설치 SSM doc를 실행하기 위해 SSM을 설치한다.
그후 SSM doc로 Inspector를 설치한다.
그리고 람다 함수로 Inspector를 실행한다.
마지막으로 Inspector 평과 결과를 System Manager에 업데이트 해주고 있다.
3. 실행
- Systems Manager > Automation > Excute automation > Owned by me 에서 CloudFormation 생성 된 doc 선택 및 매개변수 입력 후 실행
- 평가 완료 후 입력한 이메일로 SNS 알림이 오며, Systems Manager > Application Management > Patameter Store 에서 평가 내용 확인이 가능하다.
Amazon Inspector로 들어가면 아래와 같이 요약 화면 및 상세 링크가 표시되며, 평과 결과는 PDF 파일로 다운로드도 가능하다.
PDF 파일에서 나오는 결과물들은 대략 다음과 같다. 대략 이런식으로 나오는구나 하며 한번 쓱 ~ 훑어보길 권한다.