네트워크 연결성 - Amazon Inspector Classic

Amazon Inspector Classic의 사용 설명서입니다. 새로운 Amazon Inspector에 대한 자세한 내용은 Amazon Inspector 사용 설명서를 참고하십시오. Amazon Inspector Classic 콘솔에 액세스하려면 https://console.aws.amazon.com/inspector/에서 Amazon Inspector 콘솔을 연 후에 탐색 창에서 Amazon Inspector Classic을 선택합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

네트워크 연결성

네트워크 연결성 패키지의 규칙은 네트워크 구성을 분석하여 EC2 인스턴스의 보안 취약성을 찾습니다. Amazon Inspector가 생성하는 결과는 안전하지 않은 액세스 제한에 대한 지침도 제공합니다.

네트워크 접근성 규칙 패키지는 AWS 증명 가능한 보안 이니셔티브의 최신 기술을 사용합니다.

이 규칙에 의해 생성된 결과는 포트가 인터넷 게이트웨이(Application Load Balancer 또는 Classic Load Balancer 뒤에 있는 인스턴스 포함), VPC 피어링 연결 또는 가상 게이트웨이를 통한 VPN을 통해 인터넷에서 연결될 수 있는지 여부를 나타냅니다. 또한 이러한 결과는 잘못 관리되는 보안 그룹, ACL, IGW 등과 같이 악의적인 액세스를 허용하는 네트워크 구성을 강조합니다.

이러한 규칙은 AWS 네트워크의 모니터링을 자동화하고 EC2 인스턴스에 대한 네트워크 액세스가 잘못 구성되었을 수 있음을 식별하는 데 도움이 됩니다. 이 패키지를 평가 실행에 포함하면 특히 VPC 피어링 연결 및 VPN에서 유지하기 복잡하고 비용이 많이 드는 스캐너를 설치하거나 패킷을 보내지 않고도 자세한 네트워크 보안 검사를 구현할 수 있습니다.

중요

Amazon Inspector Classic 에이전트는 이 규칙 패키지를 통해 EC2 인스턴스를 평가하는 데 필요하지 않습니다. 하지만 설치된 에이전트는 포트에서 수신하는 프로세스의 존재 여부에 대한 정보를 제공할 수 있습니다. Amazon Inspector Classic에서 지원하지 않는 운영 체제에는 에이전트를 설치하지 마십시오. 지원되지 않는 운영 체제를 실행하는 인스턴스에 에이전트가 있는 경우 네트워크 연결 가능성 규칙 패키지가 해당 인스턴스에서 작동하지 않습니다.

자세한 정보는 지원되는 운영 체제의 Amazon Inspector Classic 규칙 패키지을 참조하세요.

분석된 구성

네트워크 연결성 규칙은 취약성에 대한 다음 엔터티의 구성을 분석합니다.

연결성 라우팅

네트워크 연결성 규칙은 VPC 외부에서 포트에 액세스할 수 있는 방법에 해당하는 다음 연결성 라우팅을 확인합니다.

  • Internet - 인터넷 게이트웨이(Application Load Balancer 및 Classic Load Balancer 포함)

  • PeeredVPC - VPC 피어링 연결

  • VGW - 가상 프라이빗 게이트웨이

결과 유형

네트워크 연결성 규칙 패키지가 포함된 평가는 각 연결성 라우팅에 대해 다음 유형의 결과를 반환할 수 있습니다.

RecognizedPort

잘 알려진 서비스에 일반적으로 사용되는 포트에 연결 가능합니다. 대상 EC2 인스턴스에 에이전트가 있는 경우 생성된 검색 결과는 포트에 활성 수신 프로세스가 있는지 여부도 나타냅니다. 이러한 결과 유형은 잘 알려진 서비스의 보안 영향에 따라 심각도가 지정됩니다.

  • RecognizedPortWithListener – 인식된 포트는 특정 네트워킹 구성 요소를 통해 퍼블릭 인터넷에서 외부로 연결할 수 있으며 프로세스는 포트에서 수신 대기합니다.

  • RecognizedPortNoListener – 인식된 포트는 특정 네트워킹 구성 요소를 통해 퍼블릭 인터넷에서 외부로 연결할 수 있으며 포트에 대해 수신하는 프로세스가 없습니다.

  • RecognizedPortNoAgent – 인식된 포트는 특정 네트워킹 구성 요소를 통해 퍼블릭 인터넷에서 외부로 연결할 수 있습니다. 대상 인스턴스에 에이전트를 설치하지 않은 상태에서는 포트에서 수신하는 프로세스가 있는지 여부를 확인할 수 없습니다.

다음 표는 인식된 포트 목록을 보여 줍니다.

Service

TCP 포트

UDP 포트

SMB

445

445

NetBIOS

137, 139

137, 138

LDAP

389

389

LDAP over TLS

636

글로벌 카탈로그 LDAP

3268

글로벌 카탈로그 LDAP over TLS

3269

NFS

111, 2049, 4045, 1110

111, 2049, 4045, 1110

Kerberos

88, 464, 543, 544, 749, 751

88, 464, 749, 750, 751, 752

RPC

111, 135, 530

111, 135, 530

WINS

1512, 42

1512, 42

DHCP

67, 68, 546, 547

67, 68, 546, 547

Syslog

601

514

인쇄 서비스

515

Telnet

23

23

FTP

21

21

SSH

22

22

RDP

3389

3389

MongoDB

27017, 27018, 27019, 28017

SQL 서버

1433

1434

MySQL

3306

PostgreSQL

5432

Oracle

1521, 1630

Elasticsearch

9300, 9200

HTTP

80 80

HTTPS

443 443

UnrecogizedPortWithListener

앞의 표에 나열되지 않은 포트는 연결 가능하며 활성 수신 프로세스가 있습니다. 이 유형의 결과는 수신 프로세스에 대한 정보를 표시하므로 Amazon Inspector 에이전트가 대상 EC2 인스턴스에 설치된 경우에만 생성될 수 있습니다. 이 유형의 결과에는 낮음 심각도가 부여됩니다.

NetworkExposure

이 유형의 결과는 EC2 인스턴스에서 연결할 수 있는 포트에 대한 집계 정보를 표시합니다. 이러한 결과는 탄력적 네트워크 인터페이스와 EC2 인스턴스의 보안 그룹을 조합할 때 TCP 및 UDP 포트 범위의 연결 가능한 집합을 보여 줍니다. 이 유형의 결과는 정보 심각도를 갖습니다.