재직중인 회사에서 RDS 환경에 대해 취약점을 진단해야하는 업무가 있어서 CCE 진단 자동화 Python 스크립트를 작성했다. 원격에서 RDS Enpoint로 직접 접속해서 쿼리문을 통해 진단하는 방식으로 개발했는데, 사실 DB의 경우 스크립트 수행만 가지고는 100% 정확한 취약점 진단이 불가능하다. 보통 CCE 취약점이란게 계정이나 권한은 어떻게 관리하는지, 불필요한 테이블정보는 없는지를 체크하는 체크리스트를 통해 확인하게 되는데, 규모가 어느정도 있는 회사에선 접근제어를 위한 솔루션이 필요하고 RDS 나 on-prem에서 관리되는 DB들은 이런 솔루션을 거쳐서 접근하게끔 아키텍쳐가 짜여있다. 쿼리 조회만으로는 이런 현황을 파악할 순 없다.. 따라서 자세한 정보는 별도로 확인하고 스크립트를 통해 조회..
다수의 AWS 계정을 사용하고 있을 경우에 각 계정 콘솔로 접속해서 서비스 사용현황을 확인하기가 매우 번거롭다. 이런 상황에서 사용할 수 있는 자동화 스크립트 및 AWS Native Service를 알아보았다. 방법1. 자동화 스크립트 (boto3) 애플리케이션 개발 및 관리를 위한 도구로 다양한 언어에서 SDK를 지원한다. 평소 python으로 스크립트 제작하는게 익숙했기 때문에 boto3를 선택했다. boto3를 불러와서, client라는 인스턴스를 통해 aws service를 사용하면 된다. 아래 코드에선 resourcegrouptaggingapi 를 사용해 리소스 전체 현황을 조회해봤다. 정말 사용하는 모든 AWS 서비스가 전부 반환되는건 아니고 지원하는 범위에서만 확인이 가능하지만, 위 링크에서..
