기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
로깅 및 모니터링을 위한 보안 제어 권장 사항
로깅 및 모니터링은 위협 탐지의 중요한 측면입니다. 위협 탐지는 AWS 클라우드 채택 프레임워크 (AWS CAF)
이 섹션의 제어:
에서 최소 하나 이상의 다중 지역 트레일을 구성하십시오. CloudTrail
AWS CloudTrail조직의 거버넌스, 규정 준수 및 운영 위험을 감사하는 데 도움이 됩니다 AWS 계정. 사용자, 역할 또는 담당자가 수행한 작업은 에 이벤트로 AWS 서비스 기록됩니다 CloudTrail. 이벤트에는 AWS Management Console, AWS Command Line Interface (AWS CLI), AWS SDK 및 API에서 수행한 작업이 포함됩니다. 이 이벤트 기록은 보안 상태를 분석하고, 리소스 변경을 추적하고, 규정 준수를 감사하는 데 도움이 됩니다.
에서 발생하는 이벤트를 지속적으로 기록하려면 AWS 계정트레일을 만들어야 합니다. 모든 이벤트를 기록하도록 각 트레일을 구성해야 AWS 리전합니다. 이벤트를 모두 AWS 리전기록하면 어떤 AWS 리전 이벤트에서 발생했는지에 상관없이 해당 이벤트에서 발생하는 모든 이벤트가 기록되도록 할 AWS 계정 수 있습니다. 다중 지역 추적을 통해 글로벌 서비스 이벤트가 기록되도록 할 수 있습니다.
자세한 정보는 다음 자료를 참조하십시오.
-
CloudTrail 설명서의 탐정 보안 모범 사례 CloudTrail
-
한 지역에 적용되는 트레일을 문서의 모든 지역에 적용되도록 변환 CloudTrail
서비스 및 애플리케이션 수준에서 로깅을 구성합니다.
AWS Well-Architected 프레임워크는 서비스와 애플리케이션의 보안 이벤트 로그를 보존할 것을 권장합니다. 이는 감사, 조사 및 운영 사용 사례에 대한 보안의 기본 원칙입니다. 서비스 및 애플리케이션 로그 보존은 거버넌스, 위험 및 규정 준수 (GRC) 표준, 정책 및 절차에 따라 결정되는 일반적인 보안 요구 사항입니다.
보안 운영 팀은 로그와 검색 도구를 사용하여 무단 활동이나 의도하지 않은 변경을 나타낼 수 있는 잠재적 관심 이벤트를 찾아냅니다. 사용 사례에 따라 다양한 서비스에 대한 로깅을 활성화할 수 있습니다. 예를 들어 Amazon S3 버킷 액세스, AWS WAF 웹 ACL 트래픽, 네트워크 계층에서의 Amazon API Gateway 트래픽 또는 Amazon CloudFront 배포를 기록할 수 있습니다.
자세한 정보는 다음 자료를 참조하십시오.
-
AWS 아키텍처 블로그에서 감사 및 분석을 위해 Amazon CloudWatch Logs를 중앙 집중식 계정으로 스트리밍하십시오
. -
AWS Well-Architected 프레임워크에서 서비스 및 애플리케이션 로깅을 구성합니다.
로그를 분석하고 보안 이벤트에 대응할 수 있는 중앙 위치를 구축하십시오.
로그를 수동으로 분석하고 정보를 처리하는 것만으로는 복잡한 아키텍처와 관련된 정보의 양을 따라잡기에 충분하지 않습니다. 분석 및 보고만으로는 적절한 리소스에 적시에 이벤트를 할당할 수 없습니다. AWS Well-Architected Framework에서는 보안 이벤트 및 조사 결과를 티켓팅, 버그 또는 보안 정보 및 이벤트 관리 (SIEM) 시스템과 같은 알림 및 워크플로 시스템에 AWS 통합할 것을 권장합니다. 이러한 시스템은 보안 이벤트를 할당, 라우팅 및 관리하는 데 도움이 됩니다.
자세한 정보는 다음 자료를 참조하십시오.
-
AWS Well-Architected 프레임워크에서 중앙에서 로그, 결과 및 메트릭을 분석합니다.
-
보안 블로그에서 Amazon Athena를 사용하여 보안, 규정 준수 CloudTrail 및 운영 활동을 분석하십시오
AWS .
CloudTrail 로그 파일이 포함된 S3 버킷에 대한 무단 액세스를 방지합니다.
기본적으로 CloudTrail 로그 파일은 Amazon S3 버킷에 저장됩니다. CloudTrail 로그 파일이 포함된 Amazon S3 버킷에 대한 무단 액세스를 방지하는 것이 보안 모범 사례입니다. 이를 통해 이러한 로그의 무결성, 완전성 및 가용성을 유지할 수 있으며, 이는 포렌식 및 감사 목적에 매우 중요합니다. CloudTrail 로그 파일이 포함된 S3 버킷의 데이터 이벤트를 기록하려는 경우 이를 위한 추적을 생성할 수 있습니다. CloudTrail
자세한 정보는 다음 자료를 참조하십시오.
보안 그룹 또는 네트워크 ACL의 변경에 대한 알림을 구성합니다.
Amazon VPC (Virtual Private Cloud) 의 보안 그룹은 연결된 리소스에 도달하거나 나가는 것이 허용되는 트래픽을 제어합니다. 네트워크 액세스 제어 목록 (ACL) 은 VPC의 서브넷 수준에서 특정 인바운드 또는 아웃바운드 트래픽을 허용하거나 거부합니다. 이러한 리소스는 환경에서 액세스를 관리하는 데 매우 중요합니다. AWS
보안 그룹 또는 네트워크 ACL 구성이 변경될 경우 알려주는 Amazon CloudWatch 경보를 생성하고 구성합니다. 보안 그룹을 업데이트하기 위해 AWS API 호출이 수행될 때마다 알림을 보내도록 이 경보를 구성하십시오. Amazon EventBridge 및 AWS Config같은 서비스를 사용하여 이러한 유형의 보안 이벤트에 자동으로 대응할 수도 있습니다.
자세한 정보는 다음 자료를 참조하십시오.
CloudWatch ALARM 상태에 진입하는 경보에 대한 경고를 구성합니다.
에서는 CloudWatch,,, 상태 사이에서 상태가 변경될 때 경보가 취하는 조치를 지정할 수 있습니다. OK
ALARM
INSUFFICIENT_DATA
가장 일반적인 유형의 알람 동작은 Amazon Simple Notification Service (Amazon SNS) 주제로 메시지를 보내 한 명 이상의 사람들에게 알리는 것입니다. 또한 경보를 OpsItems생성하거나 인시던트를 설정하도록 구성할 수 있습니다 AWS Systems Manager.
모니터링되는 지표가 정의된 임계값을 벗어나는 경우 자동으로 알림을 보내도록 경보 동작을 활성화하는 것이 좋습니다. 경보를 모니터링하면 비정상적인 활동을 식별하고 보안 및 운영 문제에 신속하게 대응할 수 있습니다.
자세한 정보는 다음 자료를 참조하십시오.