클라우드 설정 진단 - 보안그룹 0.0.0.0/0 오픈
점검 결과
| 보안그룹 | 프로토콜 | 포트 | CIDR | 평가 |
|---|
| prod-db | TCP | 3306 | 0.0.0.0/0 | 위험! |
| prod-app | TCP | 22 | 0.0.0.0/0 | 위험! |
| prod-web | TCP | 443 | 0.0.0.0/0 | 부적절 |
| internal | TCP | 5432 | 10.0.0.0/8 | 안전 |
AWS 보안그룹 규칙
Inbound Rules (prod-db):
Protocol: TCP
Port Range: 3306
CIDR: 0.0.0.0/0
[해석]
- MySQL 포트(3306)를 인터넷 전체에서 접근 가능
- 데이터베이스 인증 정보 탈취 위험
- SQL Injection 공격 가능
[권장 설정]
CIDR: 10.0.0.0/8 (내부 네트워크만)
또는 특정 어플리케이션 서버 SG 참조
조치 가이드
- 보안그룹 최적화: 필요한 포트만, 제한된 CIDR
- SG 참조: 다른 보안그룹 참조로 그룹 접근 제어
- 포트 축소: 25(SMTP), 3306(MySQL) 등 제한
- 정기 감시: VPC Flow Logs로 트래픽 모니터링