로깅 및 모니터링에 대한 보안 제어 권장 사항

로깅 및 모니터링은 위협 감지의 중요한 측면입니다. 위협 감지는 AWS Cloud Adoption Framework(AWS CAF)의 보안 관점 역량 중 하나입니다. 조직은 로그 데이터를 사용하여 환경을 모니터링함으로써 잠재적인 보안 구성 오류, 위협 및 예상치 못한 동작을 이해하고 식별할 수 있습니다. 잠재적 위협을 이해하면 조직이 보안 제어의 우선순위를 지정하는 데 도움이 될 수 있으며, 효과적인 위협 감지는 위협에 더 빠르게 대응하는 데 도움이 될 수 있습니다.

CloudTrail에서 하나 이상의 다중 리전 추적 구성

AWS CloudTrail은 AWS 계정의 거버넌스, 규정 준수, 운영 및 위험을 감사하는 데 도움이 됩니다. 사용자, 역할 또는 AWS 서비스이(가) 수행하는 작업은 CloudTrail에 이벤트로 기록됩니다. 이벤트에는 AWS Management 콘솔, AWS Command Line Interface(AWS CLI) 및 AWS SDK와 API에서 수행되는 작업이 포함됩니다. 이 이벤트 기록은 보안 태세를 분석하고, 리소스 변경 사항을 추적하며, 규정 준수를 감사하는 데 도움이 됩니다.

AWS 계정에서 지속적인 이벤트 레코드를 위해서는 추적을 생성해야 합니다. 각 추적은 모든 AWS 리전의 이벤트를 로깅하도록 구성해야 합니다. 모든 AWS 리전에서 이벤트를 로깅함으로써 이벤트가 발생하는 AWS 리전에 상관없이 AWS 계정 리전에서 발생하는 모든 이벤트를 로깅하도록 보장합니다. 다중 리전 추적은 글로벌 서비스 이벤트를 로깅하도록 보장합니다.

자세한 정보는 다음 자료를 참조하세요.

• CloudTrail detective security best practices(CloudTrail 설명서)

• Converting a trail that applies to one Region to apply to all Regions(CloudTrail 설명서)

• Enabling and disabling global service event logging(CloudTrail 설명서)

서비스 및 애플리케이션 수준에서 로깅 구성

AWS Well-Architected Framework에서는 서비스 및 애플리케이션의 보안 이벤트 로그를 유지할 것을 권장합니다. 이는 감사, 조사 및 운영 사용 사례에 대한 보안의 기본 원칙입니다. 서비스 및 애플리케이션 로그 유지는 거버넌스, 위험 및 규정 준수(GRC) 표준, 정책 및 절차를 기반으로 하는 일반적인 보안 요구 사항입니다.

보안 운영 팀은 로그 및 검색 도구에 의존하여 무단 활동 또는 의도하지 않은 변경을 나타낼 수 있는 잠재적 관심 이벤트를 검색합니다. 사용 사례에 따라 다양한 서비스에 대한 로깅을 활성화할 수 있습니다. 예를 들어 Amazon S3 버킷 액세스, AWS WAF 웹 ACL 트래픽, 네트워크 계층의 Amazon API Gateway 트래픽 또는 Amazon CloudFront 배포를 로깅할 수 있습니다.

자세한 정보는 다음 자료를 참조하세요.

• Stream Amazon CloudWatch Logs to a centralized account for audit and analysis(AWS 아키텍처 블로그)

• AWS Well-Architected Framework의 서비스 및 애플리케이션 로깅 구성

로그를 분석하고 보안 이벤트에 응답하기 위한 중앙 위치 설정

로그를 수동으로 분석하고 정보를 처리하는 것만으로는 복잡한 아키텍처와 관련된 정보의 양을 따라잡을 수 없습니다. 분석 및 보고만으로는 적시에 올바른 리소스에 이벤트를 쉽게 할당할 수 없습니다. AWS Well-Architected Framework에서는 AWS 보안 이벤트와 조사 결과를 티켓팅, 버그 또는 보안 정보 및 이벤트 관리(SIEM) 시스템과 같은 알림 및 워크플로 시스템에 통합할 것을 권장합니다. 이러한 시스템은 보안 이벤트를 할당, 라우팅 및 관리하는 데 도움이 됩니다.

자세한 정보는 다음 자료를 참조하세요.

• AWS Well-Architected Framework의 로그, 결과 및 지표를 중앙에서 분석

• Analyze security, compliance, and operational activity using CloudTrail and Amazon Athena(AWS 보안 블로그)

• AWS Partners that provide threat detection and response services(AWS 파트너 포트폴리오)

CloudTrail 로그 파일이 포함된 S3 버킷에 대한 무단 액세스 방지

기본적으로 CloudTrail 로그 파일은 Amazon S3 버킷에 저장됩니다. CloudTrail 로그 파일이 포함된 Amazon S3 버킷에 대한 무단 액세스를 방지하는 것이 보안 모범 사례입니다. 이를 통해 이러한 로그의 무결성, 완전성 및 가용성을 유지 관리할 수 있습니다. 이는 포렌식 및 감사 목적으로 매우 중요합니다. CloudTrail 로그 파일이 포함된 S3 버킷에 대한 데이터 이벤트를 로깅하려는 경우 이 목적으로 CloudTrail 추적을 생성할 수 있습니다.

자세한 정보는 다음 자료를 참조하세요.

• S3 버킷에 대한 퍼블릭 액세스 설정 구성(Amazon S3 설명서)

• CloudTrail preventative security best practices(CloudTrail 설명서)

• Creating a trail(CloudTrail 설명서)

보안 그룹 또는 네트워크 ACL 변경에 대한 알림 구성

Amazon Virtual Private Cloud(Amazon VPC)에서 보안 그룹은 연결된 리소스로의 송수신을 허용하는 트래픽을 제어합니다. 네트워크 액세스 제어 목록(ACL)은 VPC의 서브넷 수준에서 특정 인바운드 또는 아웃바운드 트래픽을 허용하거나 거부합니다. 이러한 리소스는 AWS 환경에서 액세스를 관리하는 데 매우 중요합니다.

보안 그룹 또는 네트워크 ACL 구성이 변경되면 이를 알리는 Amazon CloudWatch 경보를 생성하고 구성합니다. 보안 그룹을 업데이트하기 위해 AWS API 직접 호출이 수행될 때마다 알림을 보내도록 이 경보를 구성합니다. Amazon EventBridge 및 AWS Config와 같은 서비스를 사용하여 이러한 유형의 보안 이벤트에 자동으로 대응할 수도 있습니다.

자세한 정보는 다음 자료를 참조하세요.

• Automatically revert and receive notifications about changes to your Amazon VPC security groups(AWS 보안 블로그)

• Amazon CloudWatch 경보 사용(CloudWatch 설명서)

• AWS Well-Architected Framework의 조치 가능한 보안 이벤트 구현

• AWS Well-Architected Framework의 이벤트 대응 자동화

ALARM 상태로 전환되는 CloudWatch 경보에 대한 알림 구성

CloudWatch에서는 OK, ALARM, INSUFFICIENT_DATA 상태 사이에서 상태가 변경될 때 경보에서 수행하는 작업을 지정할 수 있습니다. 가장 일반적인 유형의 경보 작업은 Amazon Simple Notification Service(Amazon SNS) 주제에 메시지를 전송하여 한 명 이상의 사용자에게 알리는 것입니다. AWS Systems Manager에서 OpsItems 또는 인시던트를 생성하도록 경보를 구성할 수도 있습니다.

모니터링된 지표가 정의된 임계치를 벗어나는 경우 자동으로 이를 알리도록 경보 작업을 활성화하는 것이 좋습니다. 모니터링 경보를 통해 비정상적인 활동을 식별하고 보안 및 운영 문제에 신속하게 대응할 수 있습니다.

자세한 정보는 다음 자료를 참조하세요.

• AWS Well-Architected Framework의 조치 가능한 보안 이벤트 구현

• 경보 작업(CloudWatch 설명서)