로깅 및 이벤트 - AWS 보안 인시던트 대응 가이드

로깅 및 이벤트

AWS CloudTrail - AWS CloudTrail은 AWS 계정의 거버넌스, 규정 준수, 운영 감사 및 위험 감사를 지원하는 서비스입니다. CloudTrail을 사용하면 AWS 인프라에서 계정 활동과 관련된 작업을 기록하고 지속적으로 모니터링하며 보관할 수 있습니다. CloudTrail은 AWS Management Console, AWS SDK, 명령줄 도구 및 기타 AWS 서비스를 통해 수행된 작업을 비롯하여 AWS 계정 활동의 이벤트 기록을 제공합니다. 이러한 이벤트 기록을 통해 보안 분석, 리소스 변경 추적, 문제 해결을 간소화할 수 있습니다.

검증된 로그 파일은 보안 및 포렌식에서 중요한 역할을 합니다. CloudTrail이 로그 파일을 전송한 후 해당 파일이 수정, 삭제 또는 변경되지 않았는지 확인하기 위해 CloudTrail 로그 파일 무결성 검증을 사용할 수 있습니다. 이 기능은 산업 표준 알고리즘(해시의 경우 SHA-256, 디지털 서명의 경우 RSA 포함 SHA-256)으로 구축되었습니다. 따라서 감지되지 않으면서 CloudTrail 로그 파일을 수정, 삭제 또는 위조하는 것은 컴퓨팅 방식으로 실행 불가능합니다.

기본적으로 CloudTrail에서 버킷으로 전송하는 로그 파일은 Amazon 서버 측 암호화를 통해 암호화됩니다. 원하는 경우 CloudTrail 로그 파일에 AWS Key Management Service(AWS KMS) 관리형 키(SSE-KMS)를 사용할 수 있습니다.

Amazon CloudWatch Events - Amazon CloudWatch Events는 AWS 리소스의 변경 사항이나 AWS CloudTrail에서 API 호출을 게시하는 시기를 설명하는 시스템 이벤트의 근 실시간 스트림을 제공합니다. 신속하게 설정할 수 있는 단순 규칙을 사용하여 일치하는 이벤트를 검색하고 하나 이상의 대상 함수 또는 스트림으로 이를 경로 지정할 수 있습니다. CloudWatch Events는 운영 변경 사항이 발생할 때 이를 인식합니다. CloudWatch Events는 이러한 운영 변경에 응답하고, 환경에 응답하기 위한 메시지를 전송하고 함수를 활성화하며 변경을 수행하고 상태 정보를 기록하는 등 필요에 따라 교정 조치를 취합니다. Amazon GuardDuty와 같은 일부 보안 서비스는 CloudWatch Events 형태로 출력을 생성합니다.

AWS Config - AWS Config는 AWS 리소스의 구성을 검토, 감사 및 평가할 수 있는 서비스입니다. Config는 AWS 리소스 구성을 지속적으로 모니터링 및 기록하고, 원하는 구성을 기준으로 기록된 구성의 평가를 자동화할 수 있습니다. Config를 사용하면 AWS 리소스 간 구성 및 관계의 변경을 수동 또는 자동으로 검토할 수 있습니다. 자세한 리소스 구성 기록을 조사하고, 내부 가이드에 지정되어 있는 구성을 기준으로 전반적인 규정 준수 여부를 확인할 수 있습니다. 이에 따라 규정 준수 감사, 보안 분석, 변경 관리 및 운영 문제 해결 작업을 간소화할 수 있습니다.

Amazon S3 액세스 로그 - Amazon S3 버킷에 민감한 정보를 저장하는 경우 S3 액세스 로그를 활성화하여 해당 데이터에 대한 모든 업로드, 다운로드 및 수정 사항을 기록할 수 있습니다. 이 로그는 버킷 자체의 변경 사항(예: 액세스 정책 및 수명 주기 정책 변경)을 기록하는 CloudTrail 로그와는 별개의 로그입니다.

Amazon CloudWatch Logs - Amazon CloudWatch Logs를 사용하면 CloudWatch Logs 에이전트를 통해 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에서 로그 파일(예: 운영 체제, 애플리케이션 및 사용자 지정 로그 파일)을 모니터링, 저장 및 액세스할 수 있습니다. 또한 Amazon CloudWatch Logs는 AWS CloudTrail, Amazon Route 53 DNS 쿼리, VPC 흐름 로그, Lambda 함수 및 기타 소스에서 로그를 캡처할 수 있습니다. 그런 다음 CloudWatch Logs에서 관련 로그 데이터를 검색할 수 있습니다.

Amazon VPC 흐름 로그 – VPC 흐름 로그를 사용하면 VPC의 네트워크 인터페이스에서 전송되고 수신되는 IP 트래픽에 대한 정보를 캡처할 수 있습니다. 흐름 로그를 생성하고 난 다음 Amazon CloudWatch Logs의 데이터를 확인하고 검색할 수 있습니다. VPC 흐름 로그는 다음과 같은 여러 작업에 도움이 될 수 있습니다. 예를 들어 흐름 로그를 사용하여 특정 트래픽이 인스턴스에 도달하지 않는 이유를 확인하고 해결할 수 있으며 이는 지나치게 제한적인 보안 그룹 규칙을 진단하는 데 도움이 될 수 있습니다. 흐름 로그를 인스턴스에 액세스하는 트래픽을 모니터링하기 위한 보안 도구로 사용할 수도 있습니다.

AWS WAF 로그 - 이제 AWS WAF는 서비스에서 검사하는 모든 웹 요청에 대한 전체 로깅을 지원합니다. 규정 준수 및 감사를 위해서 뿐만 아니라 디버깅과 추가 포렌식을 위해 이러한 로그를 Amazon S3에 저장할 수 있습니다. 이러한 로그는 특정 규칙이 트리거된 이유와 특정 웹 요청이 차단된 이유를 이해하는 데 도움이 됩니다. 또한 로그를 SIEM 및 로그 분석 도구와 통합할 수 있습니다.

기타 AWS 로그 - 혁신의 속도에 발맞춰 AWS는 고객을 위해 거의 매일 새로운 기능을 배포하고 있으며 여기에는 수십 개의 AWS 서비스가 포함됩니다. 각 AWS 서비스에서 사용할 수 있는 기능에 대한 자세한 내용은 해당 서비스에 대한 AWS 설명서를 참조하세요.