사고 대응 및 복구가 적절히 수행되는가?

📌 인증 기준

"보안사고 발생 시 신속하게 대응하고 복구할 수 있도록 대응 및 복구 절차를 수립하여 이행하며, 사고 조사 결과에 따라 재발방지 대책을 마련하여야 한다."

⚠️ 이런 상황이 발생할 수 있습니다

# 공격자가 AWS 콘솔 접근 후 데이터 삭제 공격
# 백업이 같은 계정에 있어 모든 복구 수단 파괴
# → Code Spaces 사례: 완전 서비스 폐업

# 운영 DB 삭제 후 백업 복구 시도
# 5개 중 4개 백업 방법이 작동하지 않음
# → GitLab 사례: 6시간분 데이터 영구 손실

IaC 정적 분석 탐지 규칙

Runtime 모니터링 대응 규칙

# 1. AWS Backup Plan + Cross-Region 복제
resource "aws_backup_plan" "critical" {
  name = "critical-systems-backup"

  rule {
    rule_name         = "daily-backup"
    target_vault_name = aws_backup_vault.main.name
    schedule          = "cron(0 5 ? * * *)"  # 매일 05:00 UTC

    lifecycle {
      delete_after = 90  # 90일 보관
    }

    # Cross-Region 복제 (DR)
    copy_action {
      destination_vault_arn = aws_backup_vault.dr.arn
      lifecycle {
        delete_after = 90
      }
    }
  }
}

# 2. Vault Lock - 백업 삭제 방지
resource "aws_backup_vault_lock_configuration" "main" {
  backup_vault_name   = aws_backup_vault.main.name
  min_retention_days  = 7    # 최소 7일 보관 필수
  max_retention_days  = 365  # 최대 365일
  changeable_for_days = 3    # 3일 후 변경 불가
}

# 3. Quarantine Security Group - 자동 격리용
resource "aws_security_group" "quarantine" {
  name        = "quarantine-sg"
  description = "Isolation SG - No inbound/outbound traffic"
  vpc_id      = var.vpc_id

  # Ingress/Egress 규칙 없음 = 모든 트래픽 차단
  tags = {
    Name    = "quarantine-sg"
    Purpose = "incident-isolation"
  }
}

# 4. S3 증거보관 버킷 - Object Lock (WORM)
resource "aws_s3_bucket" "forensic" {
  bucket              = "forensic-evidence-${data.aws_caller_identity.current.account_id}"
  object_lock_enabled = true
}

resource "aws_s3_bucket_object_lock_configuration" "forensic" {
  bucket = aws_s3_bucket.forensic.id

  rule {
    default_retention {
      mode  = "COMPLIANCE"  # 삭제/변경 완전 차단
      years = 7             # 7년 보관 (법적 요건)
    }
  }
}

# 5. Step Functions 사고대응 워크플로우
resource "aws_sfn_state_machine" "incident_response" {
  name     = "incident-response-and-recovery"
  role_arn = aws_iam_role.step_functions.arn

  definition = jsonencode({
    StartAt = "IsolateResource"
    States = {
      IsolateResource = {
        Type     = "Task"
        Resource = aws_lambda_function.isolate.arn
        Next     = "CollectEvidence"
      }
      CollectEvidence = {
        Type     = "Task"
        Resource = aws_lambda_function.collect_evidence.arn
        Next     = "NotifyTeam"
      }
      NotifyTeam = {
        Type     = "Task"
        Resource = "arn:aws:states:::sns:publish"
        Parameters = {
          TopicArn = aws_sns_topic.incident.arn
          Message  = "Incident detected - awaiting approval"
        }
        Next = "WaitForApproval"
      }
      WaitForApproval = {
        Type           = "Task"
        Resource       = "arn:aws:states:::lambda:invoke.waitForTaskToken"
        TimeoutSeconds = 3600
        Next           = "RecoverResource"
      }
      RecoverResource = {
        Type     = "Task"
        Resource = aws_lambda_function.recover.arn
        Next     = "ValidateRecovery"
      }
      ValidateRecovery = {
        Type     = "Task"
        Resource = aws_lambda_function.validate.arn
        End      = true
      }
    }
  })
}

핵심 포인트