search
Knowledge BaseRelease NotesRequest Demo

클라우드 보안 스캐닝

Panther 클라우드 보안 스캐닝은 정책을 사용하여 AWS 리소스의 구성 오류를 탐지합니다

hashtag
개요

Panther의 클라우드 보안 스캐닝은 Amazon Web Services(AWS) 리소스의 구성을 캡처하고 미스구성을 탐지하기 위해 관련된 정책 을(를) 호출하는 방식으로 작동합니다. 클라우드 보안 스캐닝은 Panther 인스턴스에 클라우드 계정을 온보딩하면 자동으로 활성화됩니다.

이 기능은 클라우드 보안 태세를 향상시키고 규정 준수를 지원할 수 있습니다. Panther가 탐지할 수 있는 일반적인 보안 미스구성에는 다음이 포함됩니다:

  • 암호화되지 않은 S3 버킷

  • 인바운드 SSH 트래픽을 허용하는 보안 그룹(들) 0.0.0.0/0

  • 90일 이상된 액세스 키

  • 권한이 과도하게 부여된 IAM 정책

새 AWS 계정을 추가하면 Panther는 기준 스캔을 실행하고 계정의 모든 리소스를 모델링합니다. 이후 계정 스캔은 매일 수행됩니다. 이는 ReadOnly 권한을 가진 가정 가능한 IAM 역할을 사용하여 작동합니다.

hashtag
클라우드 보안 스캐닝 사용 방법

클라우드 계정이 온보딩되면 Panther에서 클라우드 보안 스캐닝이 자동으로 활성화됩니다. 클라우드 보안 스캐닝을 통해 Panther는 클라우드 리소스의 상태를 캡처하고 관련된 정책 을(를) 매일 호출하여 미스구성을 탐지합니다.

클라우드 계정을 온보딩할 수 있습니다 Panther 콘솔에서또는 Panther API를 사용하여.

또한, 우리는 다음을 권장합니다 CloudTrail 또는 CloudWatch 로그를 로그 소스 통합으로 온보딩 하여 탐지를 구성하고 활성 사고 및 침해에 대한 경보를 받을 수 있도록 합니다.

circle-info

Panther의 클라우드 보안 스캐닝은 매일 스캔을 수행합니다.

다음도 활성화할 수 있습니다 실시간 모니터링 클라우드 인프라 구성의

hashtag
Panther 콘솔에서 클라우드 계정 온보딩

  1. Panther 콘솔에 로그인합니다.

  2. 왼쪽 사이드바에서 구성 > 클라우드 계정 그런 다음 클릭 계정 연결.

  3. 계정 이름과 AWS 계정 ID를 입력합니다.

    • 다음 고급 옵션 을(를) 확장하여 클라우드 스캐닝에서 제외하려는 AWS 리전, 리소스 타입 및 리전별 리소스를 지정할 수 있습니다. 이는 이미 미스구성된 것으로 알려진 리전 및 리소스에서 너무 많은 경보가 생성되는 것을 방지하는 데 도움이 됩니다. The image shows the Cloud Account configuration page in Panther. There are fields for Name and AWS Account ID. "Advanced Options" is expanded and includes dropdown menus for "Exclude AWS Regions," "Exclude Resource Types," and a field for "Exclude Resources by Regex."

  4. 클릭 설정 계속.

hashtag
IAM 역할 설정

Panther가 AWS 계정의 리소스를 스캔할 수 있으려면 IAM 역할이 필요합니다. 이를 설정하기 위해 다음 옵션 중에서 선택할 수 있습니다:

The Setup an IAM Role page displays options for Using the AWS Console UI, CloudFormation or Terraform template, or "I want to set up everything on my own."

hashtag
AWS 콘솔 UI를 사용하여 IAM 역할 생성

  1. "IAM 역할 설정" 페이지에서 클릭 선택하세요 옆에 있는 AWS 콘솔 UI 사용.

  2. 클릭 콘솔 UI 실행.

    • 템플릿 URL이 미리 채워진 새 브라우저 탭의 AWS 콘솔로 리디렉션됩니다.

    • "권한" 상자의 확인 사항을 체크하고, 클릭 스택 생성.

  3. Panther 콘솔로 다시 이동합니다.

  4. 클릭 설정 계속 클라우드 계정 설정 과정을 완료하려면.

hashtag
CloudFormation 또는 Terraform 템플릿 파일을 사용하여 IAM 역할 생성

  1. "IAM 역할 설정" 페이지에서 클릭 선택하세요 옆에 있는 CloudFormation 또는 Terraform 템플릿 파일.

  2. 사용하려는 템플릿 옵션을 클릭하면 템플릿이 다운로드되어 자체 파이프라인을 통해 적용할 수 있습니다.

  3. AWS에 템플릿 파일을 업로드합니다.

  4. 배포가 완료되면 Panther 콘솔로 돌아가서 클릭 설정 계속. The image shows the CloudFormation Template File option page in the Panther Console. On the screen there are links to download a CloudFormation or Terraform Template, then instructions to run commands in your CLI.

hashtag
IAM 역할을 수동으로 또는 다른 자동화로 생성

다른 메커니즘을 통해 IAM 역할을 생성하려는 경우, 해당 역할이 Panther가 제공한 템플릿arrow-up-right.

  1. 에 문서화된 명명 표준 및 권한을 갖추었는지 확인하십시오. 모든 것을 직접 설정하고 싶습니다.

  2. "IAM 역할 설정" 페이지에서 "필수 IAM 역할 생성"이라는 링크를 클릭하십시오. 필수 IAM 역할을 수동으로 생성하거나 자체 자동화를 통해 생성할 수 있습니다.

hashtag
클라우드 계정 설정 과정 완료

설정 확인 페이지는 IAM 역할이 성공적으로 생성되었는지 확인합니다.

  1. 선택적으로 클릭할 수 있습니다 CloudTrail 설정 실시간 스캐닝을 활성화하려면.

    • 이미 CloudTrail 로그를 포함하는 로그 소스를 구성했거나 나중에 구성하려는 경우 이 단계를 건너뛸 수 있습니다.

  2. 클릭 설정 완료.

The screen displays a message that says 'Everything looks good!" and "Your configured stack was deployed successfully and your source's setup is now complete!" There is also a message indicating that you can also set up a CloudTrail log source. At the bottom, there is a blue "Finish Setup" button.

hashtag
Panther API를 사용하여 클라우드 계정 온보딩

Panther API로 클라우드 계정을 온보딩하려면 CreateCloudAccount 작업을 사용하십시오. 이 작업을 사용한 후에도 AWS 계정에서 IAM 역할을 설정해야 한다는 점에 유의하십시오—위의 IAM 역할을 수동으로 또는 다른 자동화로 생성 지침을 따르십시오.

hashtag
실시간 모니터링

클라우드 보안 스캐닝 서비스에서 수행하는 일일 스캔 외에 클라우드 리소스의 실시간 모니터링을 선택적으로 활성화할 수 있습니다.

실시간 모니터링은 클라우드 리소스에 변경(구성 수정, 생성 및 삭제 포함)이 발생할 때마다 Panther가 해당 리소스와 관련된 어떤 정책 을(를) 호출함을 의미합니다. 이는 변경으로 인해 리소스가 정책을 실패하면 다음 일일 스캔 시점이 아닌 거의 실시간으로 경보를 받게 됨을 의미합니다.

실시간 모니터링을 설정하려면 AWS CloudTrail을 로그 소스로 온보딩하거나 아래의 CloudWatch 이벤트 프로세스를 따르십시오.

hashtag
CloudTrail 로그

CloudTrail 로그를 통해 실시간 모니터링을 설정하려면 다음 지침을 따르십시오 CloudTrail 로그 온보딩.

hashtag
CloudWatch 이벤트

리소스 스캔 및 모니터링을 위해 CloudWatch 이벤트를 활용하려면 AWS에서 CloudFormation 스택을 구성한 다음 클라우드 계정을 온보딩해야 합니다.

hashtag
CloudWatch 이벤트를 활용하도록 CloudFormation 구성

시작하기 전에 다음을 검토하십시오 panther-cloudwatch-events.yml CloudFormation 템플릿이 포함된 panther-auxiliaryarrow-up-right. 이 YAML 파일에는 Panther의 실시간 CloudWatch 이벤트 수집을 구성하는 데 필요한 CloudFormation 스택 정보가 포함되어 있습니다.

이 방법은 각 리전의 로컬 SNS 주제를 통해 프록시된 Panther의 SQS 큐로 전달되는 CloudWatch 이벤트 규칙을 생성함으로써 작동합니다. AWS에서 이벤트가 발생하고 CloudWatch 이벤트 규칙에서 해당 이벤트를 감지할 때까지의 지연 시간은 일반적으로 1분 이하입니다.

  1. 다운로드arrow-up-right 에서 panther-cloudwatch-events.yml panther-auxiliary의 템플릿.

  2. AWS 콘솔을 실행하고 CloudFormation 서비스로 이동합니다.

  3. 클릭 스택 생성 하고 "새 리소스 포함" 옵션을 선택합니다.

  4. 다음 템플릿 섹션에서 다음 옵션을 선택하십시오 템플릿 파일 업로드. 자신의 panther-cloudwatch-events.yml 파일을 선택합니다.

  5. 클릭 다음(Next).

  6. 다음 세부 정보 지정 섹션에서 다음을 포함하여 필요한 필드를 작성하십시오:

    • 스택 이름: panther-real-time-events

    • QueueArn: arn:aws:sqs:<PantherRegion>:<PantherAccountID>:panther-aws-events-queue

  7. 클릭 다음(Next).

  8. 페이지에서 스택 옵션 구성 페이지에서 클릭하십시오 다음(Next).

  9. 페이지에서 검토 페이지에서 설정을 올바르게 구성했는지 확인하십시오. 클릭 다음(Next).

  10. 템플릿을 구성한 후, 클라우드 계정을 온보딩하기 위한 지침을 따르십시오..

hashtag
클라우드 리소스 속성

클라우드 보안 정책에서 참조할 수 있는 속성에 대해 자세히 알아보려면 다음을 참조하십시오 클라우드 리소스 속성.

hashtag
클라우드 보안 스캐닝 문제 해결

Panther 지식 기반을 방문하여 클라우드 보안 스캐닝 정책에 관한 글 보기arrow-up-right클라우드 계정에 관한 글arrow-up-right 자주 묻는 질문에 대한 답변과 일반적인 오류 및 문제 해결에 도움이 되는 자료를 제공합니다.

Previous프레임워크 매핑 및 MITRE ATT&CK® 매트릭스Next클라우드 리소스 속성

Last updated

Was this helpful?