관찰성 메커니즘으로 가시성 확보

발생한 보안 이벤트를 보는 기능은 적절한 보안 제어를 설정하는 것만큼 중요합니다. AWS Well-Architected Framework의 보안 원칙에서 탐지 모범 사례에는 서비스 및 애플리케이션 로깅 구성과 표준화된 위치의 로그, 조사 결과 및 지표 캡처가 포함됩니다. 이러한 모범 사례를 구현하려면 이벤트를 식별한 다음 해당 정보를 사람이 사용할 수 있는 형식으로 처리하는 데 도움이 되는 정보를 중앙 집중식 위치에 기록해야 합니다.

이 가이드에서는 Amazon Simple Storage Service(Amazon S3)를 사용하여 로그 데이터를 중앙 집중화할 것을 권장합니다. Amazon S3는 AWS Network Firewall 및 Amazon Route 53 Resolver DNS 방화벽 모두에 대한 로그 스토리지를 지원합니다. 그런 다음 AWS Security Hub 및 Amazon Security Lake를 사용하여 Amazon GuardDuty 조사 결과 및 기타 보안 조사 결과를 단일 위치로 중앙 집중화합니다.

네트워크 트래픽 로깅

이 가이드의 예방 및 탐지 보안 제어 자동화 섹션에서는 및 Amazon Route 53 Resolver DNS 방화벽을 사용하여 AWS Network Firewall 사이버 위협 인텔리전스(CTI)에 대한 대응을 자동화하는 방법을 설명합니다. 이러한 두 서비스 모두에 대해 로깅을 구성하는 것이 좋습니다. 로그 데이터를 모니터링하는 탐지 제어를 생성하고 제한된 도메인 또는 IP 주소가 방화벽을 통해 트래픽을 전송하려고 할 경우 알림을 보낼 수 있습니다.

이러한 리소스를 구성할 때는 개별 로깅 요구 사항을 고려하세요. 예를 들어 Network Firewall에 대한 로깅은 상태 저장 규칙 엔진으로 전달하는 트래픽에만 사용할 수 있습니다. 제로 트러스트 모델을 따르고 모든 트래픽을 상태 저장 규칙 엔진으로 전달하는 것이 좋습니다. 그러나 비용을 절감하려면 조직에서 신뢰하는 트래픽을 제외할 수 있습니다.

Network Firewall과 DNS Firewall 모두 Amazon S3에 대한 로깅을 지원합니다. 이러한 서비스에 대한 로깅 설정에 대한 자세한 내용은 에서 네트워크 트래픽 로깅 AWS Network Firewall 및 DNS 방화벽에 대한 로깅 구성을 참조하세요. 두 서비스 모두를 통해 Amazon S3 버킷에 대한 로깅을 구성할 수 있습니다 AWS Management Console.

에서 보안 조사 결과 중앙 집중화 AWS

AWS Security Hub는의 보안 상태에 대한 포괄적인 보기를 AWS 제공하며 보안 업계 표준 및 모범 사례를 기준으로 AWS 환경을 평가하는 데 도움이 됩니다. Security Hub는 보안 제어와 연결된 조사 결과를 생성할 수 있습니다. Amazon GuardDuty AWS 서비스와 같은 다른의 조사 결과를 수신할 수도 있습니다. Security Hub를 사용하여 및 지원되는 타사 제품 전반에서 조사 결과 AWS 계정 AWS 서비스및 데이터를 중앙 집중화할 수 있습니다. 통합에 대한 자세한 내용은 Security Hub 설명서의 Security Hub의 통합 이해를 참조하세요.

Security Hub에는 보안 문제를 분류하고 해결하는 데 도움이 되는 자동화 기능도 포함되어 있습니다. 예를 들어, 보안 검사에 실패할 경우, 자동화 규칙을 사용하여 중요한 조사 결과를 자동으로 업데이트할 수 있습니다. Amazon EventBridge와의 통합을 사용하여 특정 결과에 대한 자동 응답을 시작할 수도 있습니다. 자세한 내용은 Security Hub 설명서의 Security Hub 조사 결과 자동 수정 및 조치를 참조하세요.

Amazon GuardDuty를 사용하는 경우 조사 결과를 Security Hub로 보내도록 GuardDuty를 구성하는 것이 좋습니다. 그러면 Security Hub의 보안 태세 분석에 이러한 결과가 포함됩니다. 자세한 내용은 GuardDuty 설명서의 와 통합 AWS Security Hub을 참조하세요.

Network Firewall과 Route 53 Resolver DNS Firewall 모두에 대해 로깅 중인 네트워크 트래픽에서 사용자 지정 조사 결과를 생성할 수 있습니다. Amazon Athena는 표준 SQL을 사용하여 Amazon S3에 있는 데이터를 직접 분석할 수 있는 대화형 쿼리 서비스입니다. Athena에서 Amazon S3의 로그를 스캔하고 관련 데이터를 추출하는 쿼리를 구성할 수 있습니다. 지침은 Athena 설명서의 시작하기를 참조하세요. 그런 다음 AWS Lambda 함수를 사용하여 관련 로그 데이터를 AWS Security Finding Format(ASFF)으로 변환하고 결과를 Security Hub로 전송할 수 있습니다. 다음은 Network Firewall의 로그 데이터를 Security Hub 조사 결과로 변환하는 샘플 Lambda 함수입니다.

Import { SecurityHubClient, BatchImportFindingsCommand, GetFindingsCommand } from "@aws-sdk/client-securityhub";

Export const handler = async(event) => {
   const date = new Date().toISOString();
   
   const config = {
      Region: REGION
   };

   const input = {
      Findings: [
         {
            SchemaVersion: '2018-10-08',
            Id: ALERTLOGS3BUCKETID,
            ProductArn: FIREWALLMANAGERARN,
            GeneratorId: 'alertlogs-to-findings',
            AwsAccountId: ACCOUNTID,
            Types: 'Unusual Behaviours/Network Flow/Alert',
            CreatedAt: date,
            UpdatedAt: date,
            Severity: {
               Normalized: 80,
               Product: 8
            },
            Confidence: 100,
            Title: 'Alert Log to Findings',
            Description: 'Network Firewall Alert Log into Finding – add
               top level dynamic detail',
            Resources: [
               {
                  /*these are custom resources. Contain deeper details of your event here*/
                  firewallName: 'Example Name',
                  event: 'Example details here'
               }
            ]
         }
      ]
   };

   const client = new SecurityHubClient(config);
   const command = new BatchImportFindingsCommand(input);
   const response = await client.send(command);
   return { statusCode: 200, response };
};

정보를 추출하여 Security Hub로 전송하는 데 따르는 패턴은 개별 비즈니스 요구 사항에 따라 달라집니다. 데이터를 정기적으로 전송해야 하는 경우 EventBridge를 사용하여 프로세스를 시작할 수 있습니다. 정보가 추가될 때 알림을 받으려면 Amazon Simple Notification Service(Amazon SNS)를 사용할 수 있습니다. 이 아키텍처에 접근하는 방법에는 여러 가지가 있으므로 비즈니스 요구 사항을 달성할 수 있도록 적절하게 계획하는 것이 중요합니다.

보안 데이터를 다른 엔터프라이즈 데이터와 통합 AWS

Amazon Security Lake는 통합 및 타사 서비스에서 보안 관련 로그 AWS 서비스 및 이벤트 데이터 수집을 자동화할 수 있습니다. 또한 사용자 지정 가능한 보존 및 복제 설정을 통해 데이터 수명 주기를 관리할 수 있습니다. Security Lake는 수집된 데이터를 Apache Parquet 형식과 개방형 사이버 보안 스키마 프레임워크 (OCSF) 라는 표준 오픈 소스 스키마로 변환합니다. OCSF 지원을 통해 Security Lake는 AWS 및 광범위한 엔터프라이즈 보안 데이터 소스의 보안 데이터를 정규화하고 결합합니다. 다른 AWS 서비스 및 타사 서비스는 사고 대응 및 보안 데이터 분석을 위해 Security Lake에 저장된 데이터를 구독할 수 있습니다.

Security Hub에서 조사 결과를 수신하도록 Security Lake를 구성할 수 있습니다. 이 통합을 활성화하려면 두 서비스를 모두 활성화하고 Security Hub를 Security Lake의 소스로 추가해야 합니다. 이 단계를 완료하면 Security Hub가 모든 조사 결과를 Security Lake로 보내기 시작합니다. Security Lake는 Security Hub 조사 결과를 자동으로 정규화하고 OCSF로 변환합니다. Security Lake에서는 구독자를 한 명 이상 추가하여 Security Hub의 조사 결과를 사용할 수 있습니다. 자세한 내용은 Security Lake 설명서의 와 통합 AWS Security Hub을 참조하세요.

다음 동영상 AWS re:Inforce 2024 - Cyber Threat Intelligence Sharing on AWS에서는 Security Hub와 Security Lake 통합을 사용하여 CTI를 공유하는 방법을 설명합니다.