로깅 및 모니터링을 위한 보안 제어 권장 사항 - AWS 권장 가이드
CloudTrail 다중 리전 추적서비스 및 애플리케이션 로깅중앙 집중식 로깅CloudTrail 로그 파일에 대한 액세스보안 그룹 또는 네트워크 ACL 변경에 대한 알림CloudWatch 경보에 대한 알림

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

로깅 및 모니터링을 위한 보안 제어 권장 사항

로깅 및 모니터링은 위협 탐지의 중요한 측면입니다. 위협 탐지는 AWS Cloud Adoption Framework(AWS CAF)의 보안 관점 기능 중 하나입니다. 조직은 로그 데이터를 사용하여 환경을 모니터링하여 잠재적인 보안 구성 오류, 위협 및 예상치 못한 행동을 이해하고 식별할 수 있습니다. 잠재적 위협을 이해하면 조직이 보안 제어의 우선순위를 정하는 데 도움이 될 수 있으며, 효과적인 위협 탐지는 위협에 더 빠르게 대응하는 데 도움이 될 수 있습니다.

CloudTrail에서 다중 리전 추적을 하나 이상 구성

AWS CloudTrail는의 거버넌스, 규정 준수 및 운영 위험을 감사하는 데 도움이 됩니다 AWS 계정. 사용자, 역할 또는가 수행한 작업은 CloudTrail에 이벤트로 기록 AWS 서비스 됩니다. 이벤트에는 AWS Management Console, AWS Command Line Interface (AWS CLI) 및 AWS SDKs 및 APIs. 이 이벤트 기록은 보안 태세를 분석하고, 리소스 변경 사항을 추적하고, 규정 준수를 감사하는 데 도움이 됩니다.

에서 이벤트를 지속적으로 기록 AWS 계정하려면 추적을 생성해야 합니다. 각 추적은 이벤트를 모두 로깅하도록 구성해야 합니다 AWS 리전. 모든에서 이벤트를 로깅하면에서 발생하는 모든 이벤트 AWS 계정 가에서 발생하는 AWS 리전 것과 관계없이 로깅 AWS 리전됩니다. 다중 리전 추적을 통해 글로벌 서비스 이벤트가 로깅됩니다.

자세한 정보는 다음 자료를 참조하세요.

서비스 및 애플리케이션 수준에서 로깅 구성

AWS Well-Architected Framework에서는 서비스 및 애플리케이션의 보안 이벤트 로그를 보존할 것을 권장합니다. 이는 감사, 조사 및 운영 사용 사례에 대한 보안의 기본 원칙입니다. 서비스 및 애플리케이션 로그 보존은 거버넌스, 위험 및 규정 준수(GRC) 표준, 정책 및 절차에 따라 수행되는 일반적인 보안 요구 사항입니다.

보안 운영 팀은 로그 및 검색 도구를 사용하여 무단 활동 또는 의도하지 않은 변경을 나타낼 수 있는 잠재적 관심 이벤트를 발견합니다. 사용 사례에 따라 다양한 서비스에 대한 로깅을 활성화할 수 있습니다. 예를 들어 Amazon S3 버킷 액세스, AWS WAF 웹 ACL 트래픽, 네트워크 계층의 Amazon API Gateway 트래픽 또는 Amazon CloudFront 배포를 로깅할 수 있습니다.

자세한 정보는 다음 자료를 참조하세요.

로그를 분석하고 보안 이벤트에 대응하기 위한 중앙 위치 설정

로그 및 처리 정보를 수동으로 분석하는 것만으로는 복잡한 아키텍처와 관련된 정보의 양을 따라잡을 수 없습니다. 분석 및 보고만으로는 적시에 올바른 리소스에 대한 이벤트 할당이 용이하지 않습니다. AWS Well-Architected Framework에서는 보안 이벤트와 조사 결과를 티켓팅, 버그 또는 AWS 보안 정보 및 이벤트 관리(SIEM) 시스템과 같은 알림 및 워크플로 시스템에 통합하는 것이 좋습니다. 이러한 시스템은 보안 이벤트를 할당, 라우팅 및 관리하는 데 도움이 됩니다.

자세한 정보는 다음 자료를 참조하세요.

CloudTrail 로그 파일이 포함된 S3 버킷에 대한 무단 액세스 방지

기본적으로 CloudTrail 로그 파일은 Amazon S3 버킷에 저장됩니다. CloudTrail 로그 파일이 포함된 Amazon S3 버킷에 대한 무단 액세스를 방지하는 것이 보안 모범 사례입니다. 이를 통해 포렌식 및 감사 목적에 매우 중요한 이러한 로그의 무결성, 완전성 및 가용성을 유지할 수 있습니다. CloudTrail 로그 파일이 포함된 S3 버킷에 대한 데이터 이벤트를 로깅하려면이 용도로 CloudTrail 추적을 생성할 수 있습니다.

자세한 정보는 다음 자료를 참조하세요.

보안 그룹 또는 네트워크 ACLs 변경에 대한 알림 구성

Amazon Virtual Private Cloud(Amazon VPC)의 보안 그룹은 연결된 리소스에 도달하고 나갈 수 있는 트래픽을 제어합니다. 네트워크 액세스 제어 목록(ACL)은 VPC의 서브넷 수준에서 특정 인바운드 또는 아웃바운드 트래픽을 허용하거나 거부합니다. 이러한 리소스는 AWS 환경에서 액세스를 관리하는 데 매우 중요합니다.

보안 그룹 또는 네트워크 ACL 구성이 변경되면 알리는 Amazon CloudWatch 경보를 생성하고 구성합니다. API 호출을 AWS 수행하여 보안 그룹을 업데이트할 때마다 알림을 보내도록이 경보를 구성합니다. Amazon EventBridge 및와 같은 서비스를 사용하여 이러한 유형의 보안 이벤트에 AWS Config자동으로 대응할 수도 있습니다.

자세한 정보는 다음 자료를 참조하세요.

ALARM 상태로 전환되는 CloudWatch 경보에 대한 알림 구성

CloudWatch에서는 경보가 , OK ALARM및 상태 사이에서 INSUFFICIENT_DATA 상태를 변경할 때 경보가 수행하는 작업을 지정할 수 있습니다. 경보 작업의 가장 일반적인 유형은 Amazon Simple Notification Service(Amazon SNS) 주제에 메시지를 전송하여 한 명 이상의 사용자에게 알리는 것입니다. 에서 OpsItems 또는 인시던트를 생성하도록 경보를 구성할 수도 있습니다 AWS Systems Manager.

모니터링되는 지표가 정의된 임계값을 벗어나는 경우 경보 작업을 활성화하여 자동으로 알리는 것이 좋습니다. 경보를 모니터링하면 비정상적인 활동을 식별하고 보안 및 운영 문제에 신속하게 대응할 수 있습니다.

자세한 정보는 다음 자료를 참조하세요.