이 포스팅에서는 AWS Organizations 로 구성된 AWS 계정 환경에서 보안 계정에서 관리하는 Firewall Manager 를 이용하여 특정 AWS 계정에서 사용하는 ALB 자원을 Shield Advanced 의 Protected Resource 에 추가하는 설정을 해 보도록 하겠습니다.
AWS Firewall Manager 의 사용을 위해서는 반드시 각 계정이 AWS Organizations 에 등록된 상태여야하며 AWS Organizations 는 반드시 “All Feature Enabled” Mode 여야 합니다.
먼저 Protected Resource 를 등록할 개발자 계정에서 사용중인 ALB 에 Tag 값을 설정합니다. Firewall Manager 에서 Policy 를 통해 특정 자원을 지정하여 정책을 적용하고자 하는 경우 Tag 값을 기반으로 설정하게 되므로 반드시 사전에 관련 자원에 대한 Tag 설정이 되어 있어야 합니다.
아래의 ALB 에는 “shield-protection=true” 로 Tag 값이 설정되었으며 Tag 값은 조직에 따라 임의의 값을 사용하여도 됩니다.
AWS Firewall Manager 에서 Policy 생성
특정 계정에서의 사용 중인 ALB 를 Shield Advanced 의 Protected Resource 에 추가하기 위하여 아래와 같이 새로운 Policy 의 Type 을 “AWS Shield Advanced” 로 선택한 후 진행합니다.
이 Policy 의 목적은 설정을 점검하고 Compliant 유무를 판단하는 것이 아닌 실제 설정을 적용하여야하는 것이므로 Policy Action 을 “Auto remediate any noncompliant resources” 를 선택합니다.
Policy Scope 에서 대상이 될 Account Number 를 선택하고 Resource Type 을 ALB 로 지정한 후에 이전 과정에서 설정한 Tag 값을 가진 ALB 만이 Protected Resource 로 등록될 수 있도록 “Include only resources that have all the specified resource tags” 를 선택하고 Tag 값을 입력해줍니다.
이후의 모든 과정은 기본값으로 두고 Policy 생성을 마치면 아래와 같이 생성된 Policy 의 상세 정보를 확인할 수 있으며 Policy Scope 내의 계정 상태가 Compliant 인 것을 확인할 수 있습니다.
멤버 계정에서의 설정 확인
Firewall Manager Policy 의 대상이 되는 AWS 계정에 접속 후 AWS Shield Advanced 의 Protected Resources 메뉴를 확인하면 아래와 같이 최초에 Tag 를 추가하였던 Application Load Balancer 가 Firewall Manager Policy 에 의해 추가된 것을 확인할 수 있습니다.
이렇게 자동 등록된 Application Load Balancer 에는 Application Layer Protection 을 위해 WAF Classic 이 자동으로 적용되어 있는 것을 확인할 수 있습니다.
멤버 계정에서의 Protected Resource 삭제
Firewall Manager Policy 를 통해 등록된 Protected Resource 는 멤버 계정에서 권한을 가진 IAM 사용자나 역할에 의해 삭제가 가능합니다. 만일 멤버 계정에서 Protected Resource 를 삭제한다면 아래와 같이 Firewall Manager 의 Policy 에서 해당 계정의 Status 가 Noncompliant 로 변경되는 것을 확인할 수 있습니다.
다만, 이 포스팅에서 진행된 Policy 의 설정 옵션은 Noncompliant 자원이 있는 경우 자동으로 교정하도록 옵션이 지정되어 있기 때문에 멤버 계정에서 Protected Resource 를 삭제하였다고 하더라도 몇 분 후에 재등록되는 것을 확인할 수 있습니다.
감사합니다.
