SSM & Config & Service Catalog & Inspector

1. System Manager (SSM)

EC2와 On-Premise의 운영 인사이트, 패치 자동화 등 인프라 관리 기능을 모두 모아 제공하는 서비스이다.

전체 기능들

•

Resource Groups

•

Insights

◦

Insights Dashboard

◦

Inventory : 소프트웨어 설치 여부를 감사

◦

Compliance

•

Parameter Store

•

Action

◦

Automation : EC2 종료, AMI 만들기

◦

Run Command : 일괄 명령

◦

Session Manager

◦

Patch Manager

◦

Maintenance Windows

◦

State Manager : OS와 app의 구성를 관리

SSM 동작 원리

EC2/On-Premise에 SSM agent를 설치하면, agent가 SSM 서비스와 소통하며 위 기능들을 제공한다.

물론 적절한 IAM Role이 필요하다. 해당 agent는 sudo systemctl status amazon-ssm-agent 명령으로 동작을 확인할 수 있다.

On-Premise와 연동

SSM Hybrid Activations에서 activation을 하나 만들어 Code와 ID를 얻는다.

On-Premise에 amazon-ssm-agent를 설치하고 위의 Code와 ID를 이용해 agent를 실행한다.

SSM에서 인스턴스 ID가 mi로 시작하는 인스턴스를 찾는다.

Instance ID를 보면, EC2는 i-*이고 On-Premise는 mi-*인 것을 확인할 수 있다.

Resource Groups

독자적인 서비스가 되었다.

태그 혹은 CFN 스택을 기준으로 리소스 그룹을 만들 수 있다.

Run Command

Resource Groups에 일괄적으로 명령을 하는 기능이다. 명령들은 document에 정의되어 있고, 미리 정의되어 있는 document를 활용할 수도 있다.

Parameter Store

config와 secret 데이터를 중앙 집중으로 저장하는 기능이다. key-value 형식이며, 주로 /path/to처럼 키를 주소같이 만든다.

권한만 있다면 AWS 서비스 어디에서도 값을 가져갈 수 있다.

•

SecureString 타입으로 값을 KMS 암호화할 수 있다.

•

값이 바뀔 때마다 버전이 바뀌며, 모두 감사 가능하다.

Patch Manager

운영체제와 어플리케이션의 패치를 정의하고 설치하는 기능이다.

•

Patch : Patch baseline에 정의한 것을 바탕으로 즉시 인스턴스를 스캔하고 패치 수행

•

Patch baseline : OS별로 어떻게 패치해야 하는지 정의

Maintenance Windows

Patch baseline을 바탕으로 일정에 맞춰 리소스들의 업데이트를 검사하고 설치하는 기능이다.

Inventory

인스턴스에서 원하는 정보를 추출하고 통합하는 기능이다.

Automations

Document를 자동으로 실행해, 유지 관리나 배포를 쉽게 만들어주는 기능이다. CW Events와 통합할 수 있다.

•

적어도 한 명의 IAM 유저가 동의하면 인스턴스를 멈추도록 한다.

•

Source AMI를 업데이트해 golden AMI를 만든다. 그리고 golden AMI가 아닌 리소스들을 업데이트한다.

2. Config

리전별로 리소스의 구성을 추적해 S3에 저장하고, 감사하는 서비스이다.

•

구성이 바뀔 때마다 이벤트 수신(SNS)

•

구성을 버젼별로 추적

•

리소스별로 구성을 검색

•

리소스별로 변경을 타임라인으로 관리

•

여러 계정과 리전을 묶어서 관리 가능

Config Rule

규칙을 만들고 리소스의 구성 설정을 평가한다. 구성이 변경되거나 주기적으로 규칙을 평가하고, 규칙을 만족하지 못 하면 “규칙 미준수”로 표시한다. 예)EBS의 타입이 gp2인가

•

Custom Rule : Lambda 함수를 통해 자체 규칙을 만들 수 있다.

•

조정 - “규칙 미준수”일 때, SSM Document을 실행해 리소스를 수정할 수 있다.

•

알림 - 이벤트를 트리거하여 서비스를 실행하거나 유저에게 알릴 수 있다.

3. Service Catalog

규정을 준수하는 product(= CFN Template)를 미리 만들어서, AWS 초보자도 쉽게 배포할 수 있도록 도와주는 서비스이다. 프로비전된 product는 중앙에서 상태를 확인하고 제어할 수 있다. 셀프 서비스 포털과 연동할 수 있다.

•

Product : CFN Template

•

Portfolios : 전체 products 목록

•

Product List : 조회 가능한 product 목록

제약 조건

•

템플릿 제약 조건 : 제품을 시작할 때, 구성(config)을 제한할 수 있다.

•

시작 제약 조건 : 어떤 IAM 역할이 해당 제품을 사용할 수 있는지 제품별로 정의한다.

4. Inspector

EC2 보안 평가 서비스. 호스트와 네트워크 취약점을 분석한다.

•

OS 분석 : agent 설치 필요

•

네트워크 분석 : agent 설치 불필요

•

SNS와 연동할 수 있다.

취약점 발생 → Inspector → SNS → Lambda → SSM →수정 완료

5. 비교 분석

Config

•

보안 그룹 추적

•

설정 변경 추적

•

SSL 자격 증명 적용 여부 확인

Configuration Management

•

EC2가 올바른 구성 파일을 갖도록 한다.

•

SSM, Opsworks, Ansible, Chef, Puppet, User Data

Inspector

•

보안 취약점 분석

SSM

•

automations, patches, commands, inventory

Service Catalog

•

최소한의 구성으로 규정을 준수하며 EC2 배포

Made with Slashpage