CloudTrail 로그 파일 무결성 검증 - AWS CloudTrail

CloudTrail 로그 파일 무결성 검증

CloudTrail이 로그 파일을 전송한 후 해당 파일이 수정, 삭제 또는 변경되지 않았는지 확인하기 위해 CloudTrail 로그 파일 무결성 검증을 사용할 수 있습니다. 이 기능은 산업 표준 알고리즘(해시의 경우 SHA-256, 디지털 서명의 경우 RSA 포함 SHA-256)으로 구축되었습니다. 따라서 CloudTrail 로그 파일의 수정, 삭제 또는 위조가 감지되지 않는 것이 계산상 불가능합니다. AWS CLI를 사용하면 CloudTrail이 로그 파일을 전송한 위치에서 파일을 검증할 수 있습니다.

사용하는 이유

검증된 로그 파일은 보안 및 과학수사에서 중요한 역할을 합니다. 예를 들어, 검증된 로그 파일을 사용하면 로그 파일 자체가 변경되지 않았음을 또는 특정 사용자 자격 증명이 특정 API 활동을 수행했음을 확실하게 주장할 수 있습니다. 또한 CloudTrail 로그 파일 무결성 검증 프로세스를 사용하면 로그 파일이 삭제 또는 변경되었는지 여부를 알 수 있거나 특정 시간 동안 사용자 계정으로 로그 파일이 전송되지 않았음을 확실하게 주장할 수 있습니다.

작동 방식

로그 파일 무결성 검증을 활성화할 경우 CloudTrail은 전송하는 모든 로그 파일에 대해 해시를 생성합니다. 또한 CloudTrail은 지난 1시간 동안의 로그 파일을 참조하고 각 해시를 포함하는 파일을 매시간 생성해 전송합니다. 이 파일을 다이제스트 파일이라고 합니다. CloudTrail은 퍼블릭/프라이빗 키 페어의 프라이빗 키를 사용하여 각 다이제스트 파일에 서명합니다. 파일이 전송된 후 사용자는 퍼블릭 키를 사용하여 다이제스트 파일을 검증할 수 있습니다. CloudTrail은 AWS 리전마다 다른 키 페어를 사용합니다.

다이제스트 파일은 추적과 연결되었으며 CloudTrail 로그 파일과 동일한 Amazon S3 버킷으로 전송됩니다. 로그 파일이 모든 리전 또는 여러 계정에서 단일 Amazon S3 버킷으로 전송되면 CloudTrail은 해당 리전 및 계정의 다이제스트 파일을 동일한 버킷으로 전송합니다.

다이제스트 파일은 로그 파일과는 별도의 폴더에 저장됩니다. 다이제스트 파일과 로그 파일이 분리되므로 세분화된 보안 정책을 적용할 수 있으며 기존 로그 처리 솔루션을 수정하지 않고 계속 사용할 수 있습니다. 또한 각 다이제스트 파일에는 이전 다이제스트 파일(있는 경우)의 디지털 서명이 포함되어 있습니다. 현재 다이제스트 파일의 서명은 다이제스트 파일인 Amazon S3 객체의 메타데이터 속성에 있습니다. 다이제스트 파일 콘텐츠에 대한 자세한 내용은 CloudTrail 다이제스트 파일 구조 단원을 참조하세요.

로그 및 다이제스트 파일 저장

CloudTrail 로그 파일 및 다이제스트 파일을 Amazon S3 또는 S3 Glacier에 안전하고 안정적으로 저렴하게 무기한 저장할 수 있습니다. Amazon S3에 저장된 다이제스트 파일의 보안을 개선하기 위해 Amazon S3 MFA Delete를 사용할 수 있습니다.

검증 활성화 및 파일 검증

로그 파일 무결성 검증을 활성화하기 위해 AWS Management Console, AWS CLI 또는 CloudTrail API를 사용할 수 있습니다. 로그 파일 무결성 검증을 활성화하면 CloudTrail에서 다이제스트 로그 파일을 Amazon S3 버킷으로 전송할 수 있지만, 파일 무결성은 검증되지 않습니다. 자세한 정보는 CloudTrail에 대한 로그 파일 무결성 검증 활성화을 참조하십시오.

CloudTrail 로그 파일의 무결성을 검증하기 위해 AWS CLI를 사용하거나 고유한 솔루션을 생성할 수 있습니다. AWS CLI는 CloudTrail이 로그 파일을 전송한 위치에서 파일을 검증합니다. 다른 위치로 이동한 로그를 검증하려면 Amazon S3 또는 기타 위치에서 고유한 검증 도구를 생성할 수 있습니다.

AWS CLI를 사용하여 로그를 검증하는 방법에 대한 자세한 내용은 AWS CLI를 사용하여 CloudTrail 로그 파일 무결성 검증 단원을 참조하세요. CloudTrail 로그 파일 검증의 사용자 지정 구현을 개발하는 방법에 대한 자세한 내용은 CloudTrail 로그 파일 무결성 검증에 대한 사용자 지정 구현 단원을 참조하세요.