CloudTrail 로그 파일 무결성 검증 - AWS CloudTrail

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CloudTrail 로그 파일 무결성 검증

로그 파일이 CloudTrail 전송된 후 수정, 삭제 또는 변경되지 않았는지 확인하려면 CloudTrail 로그 파일 무결성 검증을 사용할 수 있습니다. 이 기능은 산업 표준 알고리즘(해시의 경우 SHA-256, 디지털 서명의 경우 RSA 포함 SHA-256)으로 구축되었습니다. 따라서 탐지 없이 로그 파일을 수정, 삭제 또는 CloudTrail 위조하는 것은 계산상 불가능합니다. 를 사용하여 파일이 전달된 AWS CLI 위치에서 파일을 검증할 수 있습니다. CloudTrail

사용하는 이유

검증된 로그 파일은 보안 및 과학수사에서 중요한 역할을 합니다. 예를 들어, 검증된 로그 파일을 사용하면 로그 파일 자체가 변경되지 않았음을 또는 특정 사용자 자격 증명이 특정 API 활동을 수행했음을 확실하게 주장할 수 있습니다. 또한 CloudTrail 로그 파일 무결성 검증 프로세스를 통해 로그 파일이 삭제 또는 변경되었는지 알 수 있으며 일정 기간 동안 계정에 로그 파일이 전송되지 않았는지 확인할 수 있습니다.

작동 방식

로그 파일 무결성 검증을 활성화하면 전달되는 모든 로그 파일에 대해 해시가 CloudTrail 생성됩니다. CloudTrail 또한 매시간 최근 한 시간 동안의 로그 파일을 참조하고 각 파일의 해시를 포함하는 파일을 만들어 전달합니다. 이 파일을 다이제스트 파일이라고 합니다. CloudTrail 공개 및 개인 키 쌍의 개인 키를 사용하여 각 다이제스트 파일에 서명합니다. 전달 후에는 공개 키를 사용하여 다이제스트 파일을 검증할 수 있습니다. CloudTrail 는 각각 AWS 리전다른 키 쌍을 사용합니다.

다이제스트 파일은 트레일과 연결된 동일한 Amazon S3 버킷으로 CloudTrail 로그 파일로 전송됩니다. 모든 지역 또는 여러 계정에서 단일 Amazon S3 버킷으로 로그 파일을 전송하는 경우, CloudTrail 해당 지역 및 계정의 다이제스트 파일을 동일한 버킷으로 전송합니다.

다이제스트 파일은 로그 파일과는 별도의 폴더에 저장됩니다. 다이제스트 파일과 로그 파일이 분리되므로 세분화된 보안 정책을 적용할 수 있으며 기존 로그 처리 솔루션을 수정하지 않고 계속 사용할 수 있습니다. 또한 각 다이제스트 파일에는 이전 다이제스트 파일(있는 경우)의 디지털 서명이 포함되어 있습니다. 현재 다이제스트 파일의 서명은 다이제스트 파일인 Amazon S3 객체의 메타데이터 속성에 있습니다. 다이제스트 파일 콘텐츠에 대한 자세한 내용은 CloudTrail 다이제스트 파일 구조 단원을 참조하세요.

로그 및 다이제스트 파일 저장

Amazon S3 또는 S3 Glacier에 CloudTrail 로그 파일과 다이제스트 파일을 무기한으로 안전하고 안정적이며 저렴하게 저장할 수 있습니다. Amazon S3에 저장된 다이제스트 파일의 보안을 개선하기 위해 Amazon S3 MFA Delete를 사용할 수 있습니다.

검증 활성화 및 파일 검증

로그 파일 무결성 검증을 활성화하려면, 또는 API를 사용할 수 있습니다. AWS Management Console AWS CLI CloudTrail 로그 파일 무결성 검증을 활성화하면 CloudTrail Amazon S3 버킷에 다이제스트 로그 파일을 전송할 수 있지만 파일의 무결성을 검증하지는 않습니다. 자세한 정보는 에 대한 로그 파일 무결성 검증 활성화 CloudTrail을 참조하세요.

를 사용하거나 자체 솔루션을 생성하여 CloudTrail 로그 파일의 무결성을 검증할 수 있습니다. AWS CLI AWS CLI 는 파일이 CloudTrail 전달된 위치에서 파일을 검증합니다. 다른 위치로 이동한 로그를 검증하려면 Amazon S3 또는 기타 위치에서 고유한 검증 도구를 생성할 수 있습니다.

를 사용하여 로그를 검증하는 방법에 대한 자세한 내용은 을 AWS CLI참조하십시오를 CloudTrail 사용하여 로그 파일 무결성 검증 AWS CLI. CloudTrail 로그 파일 검증의 사용자 지정 구현 개발에 대한 자세한 내용은 을 참조하십시오. CloudTrail 로그 파일 무결성 검증의 사용자 지정 구현