로깅 및 이벤트
AWS CloudTrail
검증된 로그 파일은 보안 및 포렌식에서 중요한 역할을 합니다. CloudTrail이 로그 파일을 전송한 후 해당 파일이 수정, 삭제 또는 변경되지 않았는지 확인하기 위해 CloudTrail 로그 파일 무결성 검증을 사용할 수 있습니다. 이 기능은 산업 표준 알고리즘(해시의 경우 SHA-256, 디지털 서명의 경우 RSA 포함 SHA-256)으로 구축되었습니다. 따라서 감지되지 않으면서 CloudTrail 로그 파일을 수정, 삭제 또는 위조하는 것은 컴퓨팅 방식으로 실행 불가능합니다.
기본적으로 CloudTrail에서 버킷으로 전송하는 로그 파일은 Amazon 서버 측 암호화를 통해 암호화됩니다. 원하는 경우 CloudTrail 로그 파일에 AWS Key Management Service(AWS KMS) 관리형 키(SSE-KMS)를 사용할 수 있습니다.
Amazon CloudWatch Events - Amazon CloudWatch Events는 AWS 리소스의 변경 사항이나 AWS CloudTrail에서 API 호출을 게시하는 시기를 설명하는 시스템 이벤트의 근 실시간 스트림을 제공합니다. 신속하게 설정할 수 있는 단순 규칙을 사용하여 일치하는 이벤트를 검색하고 하나 이상의 대상 함수 또는 스트림으로 이를 경로 지정할 수 있습니다. CloudWatch Events는 운영 변경 사항이 발생할 때 이를 인식합니다. CloudWatch Events는 이러한 운영 변경에 응답하고, 환경에 응답하기 위한 메시지를 전송하고 함수를 활성화하며 변경을 수행하고 상태 정보를 기록하는 등 필요에 따라 교정 조치를 취합니다. Amazon GuardDuty와 같은 일부 보안 서비스는 CloudWatch Events 형태로 출력을 생성합니다.
AWS Config
Amazon S3 액세스 로그 - Amazon S3 버킷에 민감한 정보를 저장하는 경우 S3 액세스 로그를 활성화하여 해당 데이터에 대한 모든 업로드, 다운로드 및 수정 사항을 기록할 수 있습니다. 이 로그는 버킷 자체의 변경 사항(예: 액세스 정책 및 수명 주기 정책 변경)을 기록하는 CloudTrail 로그와는 별개의 로그입니다.
Amazon CloudWatch Logs - Amazon CloudWatch Logs를 사용하면 CloudWatch Logs 에이전트를 통해 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에서 로그 파일(예: 운영 체제, 애플리케이션 및 사용자 지정 로그 파일)을 모니터링, 저장 및 액세스할 수 있습니다. 또한 Amazon CloudWatch Logs는 AWS CloudTrail, Amazon Route 53 DNS 쿼리, VPC 흐름 로그, Lambda 함수 및 기타 소스에서 로그를 캡처할 수 있습니다. 그런 다음 CloudWatch Logs에서 관련 로그 데이터를 검색할 수 있습니다.
Amazon VPC 흐름 로그 – VPC 흐름 로그를 사용하면 VPC의 네트워크 인터페이스에서 전송되고 수신되는 IP 트래픽에 대한 정보를 캡처할 수 있습니다. 흐름 로그를 생성하고 난 다음 Amazon CloudWatch Logs의 데이터를 확인하고 검색할 수 있습니다. VPC 흐름 로그는 다음과 같은 여러 작업에 도움이 될 수 있습니다. 예를 들어 흐름 로그를 사용하여 특정 트래픽이 인스턴스에 도달하지 않는 이유를 확인하고 해결할 수 있으며 이는 지나치게 제한적인 보안 그룹 규칙을 진단하는 데 도움이 될 수 있습니다. 흐름 로그를 인스턴스에 액세스하는 트래픽을 모니터링하기 위한 보안 도구로 사용할 수도 있습니다.
AWS WAF 로그 - 이제 AWS WAF는 서비스에서 검사하는 모든 웹 요청에 대한 전체 로깅을 지원합니다. 규정 준수 및 감사를 위해서 뿐만 아니라 디버깅과 추가 포렌식을 위해 이러한 로그를 Amazon S3에 저장할 수 있습니다. 이러한 로그는 특정 규칙이 트리거된 이유와 특정 웹 요청이 차단된 이유를 이해하는 데 도움이 됩니다. 또한 로그를 SIEM 및 로그 분석 도구와 통합할 수 있습니다.
기타 AWS 로그 - 혁신의 속도에 발맞춰 AWS는 고객을 위해 거의 매일 새로운 기능을 배포하고 있으며 여기에는 수십 개의 AWS 서비스가 포함됩니다. 각 AWS 서비스에서 사용할 수 있는 기능에 대한 자세한 내용은 해당 서비스에 대한 AWS 설명서를 참조하세요.