자격 증명 스캔을 위해 Lambda 함수를 트리거하는 Amazon CloudWatch Events 규칙을 생성한다. 리포지토리로 푸시가 성공한 후 스캔을 실행하고 자격 증명이 발견될 경우 DevOps 팀에게 알림을 보내는 Amazon SNS 알림을 트리거한다.

git-secrets를 커밋 전 후크로 설정한다. 보안 자격 증명이 발견되면 커밋이 수행되지 않도록 차단한다.

보안 자격 증명을 찾도록 빌드 프로세스를 업데이트한다. AWS CodeBuild가 자격 증명을 발견하면 빌드 작업을 중지하고 조사가 시작될 수 있도록 DevOps 팀에 보고한다.

AWS CloudTrail 로그를 스캔하도록 AWS Secrets Manager를 구성한다. AWS CodeBuild에 대한 API 호출 중 보안 자격 증명이 포함된 호출이 발견되면 전송을 차단한다.

Jenkins 슬레이브를 Auto Scaling 그룹으로 마이그레이션한다. 각 빌드 작업의 상태가 포함된 사용자 지정 Amazon CloudWatch 지표를 생성한다. 작업이 완료되면 Auto Scaling 그룹에 해당 EC2 인스턴스를 다시 축소하라는 알림을 보낸다.

EC2 플러그인을 Jenkins에 설치한다. 그러면 요청되는 빌드에 따라 EC2 인스턴스가 자동으로 시작되고 종료된다.

Jenkins를 AWS CodePipeline에 통합한다. AWS CodePipeline은 변경 사항을 푸시하면서 Jenkins에 새 빌드 환경을 생성하고 더 이상 필요하지 않은 빌드 환경을 종료하라는 알림을 보낸다.

매일 업무 시작 시간에 새 Jenkins 슬레이브를 구동하는 AWS Lambda 함수를 생성한다. 작업이 완료되면 Jenkins 슬레이브를 종료하는 두 번째 AWS Lambda 함수를 예약한다.

업데이트 과정에서 롤백할 수 없는 새로운 Auto Scaling 그룹이 생성되었습니다.

업데이트 과정에서 롤백할 수 없는 빈 Amazon S3 버킷이 생성되었다.

스택의 리소스가 AWS CloudFormation 외부에서 변경되었다.

스택의 리소스가 축소된 Auto Scaling 그룹의 일부이다.

Amazon CloudWatch Logs 에이전트를 설치하고 관련 로그를 대상으로 지정한다.

로그를 zip 파일로 압축한 후 Amazon S3 버킷에 전달하는 CLI 스크립트를 작성한다. 이 스크립트를 cron 작업으로 실행한다.

Amazon S3에서 로그를 다운로드하고 404를 찾은 후 발견되면 Amazon CloudWatch에 보고하는 Lambda 함수를 생성한다.

로그 그룹에 404 오류를 찾는 필터를 생성한다.

이러한 데이터 포인트를 바탕으로 상승률을 찾는 Amazon CloudWatch 경보를 생성한다.

로드 밸런서에 SSL 종료를 사용하고, EC2 인스턴스에 Amazon EBS 암호화를 사용하고, Amazon S3에 서버 측 암호화를 사용한다.

로드 밸런서에 SSL 종료와 함께 SAN SSL 인증서를 사용하고, 모든 Amazon EBS 볼륨이 포함된 EC2에 Amazon EBS 암호화를 사용하고, Amazon S3에 고객 관리형 키를 통한 서버 측 암호화를 사용한다.

로드 밸런서에 TCP 로드 밸런싱을 사용하고, EC2 인스턴스에 SSL 종료를 사용하고, Amazon EBS 볼륨에 OS 수준 디스크 암호화를 사용하고, Amazon S3에 서버 측 암호화를 사용한다.

로드 밸런서에 TCP 로드 밸런싱을 사용하고, EC2 인스턴스에 SSL 종료를 사용하고, Amazon S3에 서버 측 암호화를 사용한다.

로드 밸런서에 SSL 종료를 사용하고, EC2 인스턴스에 SSL 수신기를 사용하고, PHI가 포함된 EBS 볼륨에 Amazon EBS 암호화를 사용하고, Amazon S3에 서버 측 암호화를 사용한다.

암호를 변경하고 루트 사용자에게 MFA를 추가한다.

루트 사용자 로그인 시 IP에 제한을 둡니다.

키를 교체하고 IAM 사용자의 암호를 변경합니다.

모든 IAM 사용자를 삭제한다.

관리자의 IAM 사용자를 삭제한다.

EC2 인스턴스에서 규정 미준수 태깅 구조를 확인하는 스크립트를 작성한다. 발견되면 해당 인스턴스를 종료한다. 이 스크립트를 계정 내부의 인스턴스에서 한 시간에 한 번 실행되는 cron 작업으로 예약한다.

인프라를 확인하고 규정 미준수 인스턴스를 찾는 AWS Lambda 함수를 생성한다. 정책을 위반한 것으로 밝혀진 인스턴스는 Amazon DynamoDB 테이블에 기록된다. 다른 AWS Lambda 함수를 사용하여 이 Amazon DynamoDB 테이블을 구독하고 여기서 발견되는 인스턴스를 종료한다.

규정 미준수 EC2 인스턴스를 찾는 규칙을 AWS Config 안에 구성한다. 발견되면 CloudWatch 이벤트를 사용하여 해당 리소스를 종료하는 사용자 지정 Lambda 함수를 실행한다.

필요한 태그로 EC2 인스턴스를 생성할 수 있는 권한만 있는 IAM 사용자를 생성한다. 회사 내부에서 이 계정에만 인스턴스 생성 권한을 부여하는 정책을 시행한다. EC2 인스턴스를 생성하려는 경우 항상 이 계정을 활용한다.