본문 바로가기

카테고리 없음

[AWS] 인프라의 핵심 보안 서비스 공부하기

보안 꿈나무의 보안 공부 일기 

오늘은 평소에 흔히 사용하는 AWS가 제공하는 핵심 보안 서비스에 대해 글을 써볼려고 합니다.

 

AWS는 클라우드 환경 내 인프라, 데이터, 애플리케이션을 안전하게 보호하기 위해 다층 방어 메커니즘 기반의

대규모 보안 포트폴리오를 제공하고 있습니다.

 

AWS의 보안 모델은 클라우드 자체의 보안을 책임지는 AWS와

클라우드 내부의 보안을 책임지는 고객 간의 공동 책임 모델의 규칙을 따르고 있는데요

오늘은 이러한 보안 서비스를

 

네트워크 보안 서비스

 

컴퓨팅 자원 및 저장소 보안 서비스 

 

콘텐츠 전송 보안 서비스

 

통합 관리형 보안 서비스

 

 등 의 총 4가지 관점에서 알아 보려고 합니다.

 

1. 네트워크 보안 서비스

첫 번째로 네트워크의 보안 서비스 입니다.

 

네트워크 보안 서비스의 주요 역할로는

네트워크 경계를 보호하고 비정상 트래픽 및 외부 공격을 차단하여

VPC(Virtual Private Cloud) 환경을 외부 위협으로부터 격리하는 서비스를 제공하고 있습니다.

 

우선 첫 번째로 VPC 보안 기능인 (Security Groups & Network ACLs) 을 알아보겠습니다.

 

1.1Security Groups & Network ACL

AWS는 VPC 내부의 리소스를 보호하기 위해 방화벽 계층을 두 가지 형태로 나누어 제공하고 있는데요

Security Groups과 Network ACL  입니다.

 

Security Groups는

인스턴스 수준(L4 계층)에서 작동하는 가상 방화벽으로

상태 저장(Stateful) 방식으로 동작합니다. 

 

따라서 들어오는 트래픽(Inbound)을 허용하면

그 트래픽에 대한 나가는 응답(Outbound)은 규칙과 관계없이 자동으로 허용 되게 됩니다.

 

하지만 허용 규칙만 정의할 수 있기에(Only Allow) 규칙을 지정하지 않으면 모든 트래픽이 차단 됩니다.

 

다음으론 Netowrk ACL 을 살펴보죠

 

L4에서 동작하는 Security Gropus와 다르게 L3/L4 계층에서 작동을 하는 방화벽 입니다.

우리가 흔히 서브넷 수준 이라고 부르는 계층에서 동작하게 되는 방화벽이죠

 

Security Groups 가 상태 저장 방식으로 동작 한다면

ACL은 상태 비저장(Stateless) 방식으로 동작합니다

 

즉 인바운드와 아웃바운드 트래픽에 대한 규칙을 각각 명시적 정의가 필요하다 라는 말이 되겠죠

 

규칙의 번호 순서대로 처리가 되며

허용 및 차단 규칙을 모두 명시가 가능한게 특징입니다.

 

항목 보안 그룹 (Security Group) 네트워크 ACL (Network ACL)
작동 계층 인스턴스 수준 (L4) 서브넷 수준 (L3/L4)
상태 관리 상태 저장 (Stateful) 상태 비저장 (Stateless)
규칙 적용 허용(Allow) 규칙만 가능 허용(Allow) 및 차단(Deny) 모두 가능
평가 순서 모든 규칙을 평가 후 트래픽 허용 규칙 번호 순서대로 순차적 평가

 

그럼 대체 왜 AWS는 서로 특징이 다른 이 두 계층을 동시에 사용할까요?

바로  "심층 방어" 라는 것을 구현하기 위해서 입니다.

 

심층 방어를 사용하게 되면 2차 방어와 트래픽의 세밀한 제어가 가능하게 되는 등 이점이 존재하는데요

 

보안 그룹에서 실수로 포트를 열어두더라도 네트워크 ACL에서 해당 IP나 포트를 차단하여 2차 방어를 할 수 있고

 

악의적인 DDOS 공격이나 스캔 봇의 접근을 서브넷 레벨(NACL)에서 먼저 차단하고 정상적인 통신만

인스턴스 레벨(Security Groups)에서 세밀하게 통제하는 것이 가능하기에 두 계층으로 나누어서 채용 하는 것 입니다.

 

1.2 AWS WAF (Web Application Firewall)

네트워크 보안 서비스의 두 번째로는 AWS WAF를 살펴 보겠습니다

AWS 에서 웹 애플리케이션 계층을 보호하는 전용 방화벽으로 알려져 있습니다

그렇기에 WAF는 L7계층에서 동작하게 됩니다

 

WAF의 어떻게 동작하게 될까요? 

우선적으로

Application Load Balancer(ALB), Amazon CloudFront , Amazon API Gateway ,AWS AppSync 등 의 서비스와 연동을 하고

다음으로 웹 애플리케이션 계층으로 들어오는 HTTP/HTTPS 요청을 검사 합니다

 

대체 왜 이러한 서비스 들을 WAF에 연동해서 사용할까요?

 

AWS는 해당 4가지 대문(서비스) 앞에 WAF를 딱 가져다가 놓습니다

 

외부 사용자는 클라우드 내부에 있는 데이터나 서버에 접근하기 위해

무조건 위 4가지 서비스 중 하나를 무조건 통과해야 하지만

 

WAF가 통과해야만 하는 서비스 앞에서 검문소 역할을 하게 되는 것이죠

 

따라서 악성 해킹 트래픽이나 디도스 공격이 내부 서버에 도달하기도 전에 입구에서 차단할 수 있기 때문에 보안 아키텍처에서 매우 중요하게 다뤄지고 있습니다.

 

WAF의 주요 기능으로는

SQL 인젝션, XSS 주입 공격, HTTP 플러드 공격 등을 차단해 주는 역할을 합니다

IP 주소, HTTP 헤더, HTTP 본문, URI 문자열 조건 기반의 사용자 지정 규칙(Web ACL)을 생성하거나 AWS 관리형 규칙 세트를 적용할 수 도 있습니다.

 

1.3 AWS Shield

네트워크 보안 서비스의 세 번째 로는 AWS Shield에 대해 알아보겠습니다.

흔히 인터넷에서 특정 서비스를 다운 시킬때 사용 하는 방식인 DDoS (디도스)를 방어하는 현대에서 매우 중요한 보안 서비스를 맡고 있는 친구입니다.

 

DDoS 공격으로부터 애플리케이션을 보호하는 인프라 방어 서비스 역할을 수행 하고 있습니다

 

그렇기에 이 AWS Shiled는 모든 AWS 고객에게 비용 없이 기본 제공입니다.

레이어 3 및 4에서 발생하는 흔한 네트워크 계층 DDoS 공격을 자동으로 방어 또한 가능합니다.

 

하지만 이렇게 단순한 DDoS 공격만 존재 할 리가 없겠죠?

그렇기에 AWS Shiled는 

AWS Shield Advanced (유료) 서비스를 추가로 제공합니다.

Route 53, CloudFront, ALB, EC2 등에 가해지는 대규모 고도화된 공격의 방어가 가능하며

프리미엄 유료 서비스 답게

 

실시간 공격 가시성

맞춤형 방어

 AWS 보안 전문가 팀(SRT)의  24시간 연중무휴로 지원

DDoS로 인한 사용량 급증 시 요금 지원

 

등 많은 편의성 보장 및 프리미엄 케어 서비스가 존재 합니다.

 

1.4 AWS Network Firewall & Firewall Manager

네트워크 보안 서비스의 마지막으론

VPC 환경을 위한 관리형 네트워크 방화벽과 조직 전체의 AWS 방화벽 구성을 중앙 구성 제어관리하는

보안 관리 서비스를 살펴 보겠습니다.

 

우선 Network Firewall 이라는 이름에서 추측 할 수 있듯이 네트워크 방화벽입니다

 

VPC 전체의 인/아웃바운드 트래픽을 정밀 검사하는 상태 저장 방화벽의 역할을 하고 있습니다.

이 방화벽의 주요 역할로는

 

네트워크 계층부터 애플리케이션 계층(L3~L7) 패킷 검사

URL 필터링

, Suricata 호환 규칙 세트 동작 지원

침입 방지 기능

트래픽 필터링

 

의 기능을 지원하고 있습니다.

 

다음으론 Firewall Manager 인데요

이 친구 역시 이름에서 유추 가능 하듯이 방화멱 제어 매니저의 역할을 합니다

여러 계정과 애플리케이션에 흩어져 있는 방화벽 규칙과 정책을 중앙에서 구성하고 일관되게 적용하는 역할을 수행하고 있습니다.

 

AWS Network Firewall

AWS WAF

AWS Shield

VPC 보안 그룹

등 6가지 보호 정책을 중앙에서 관리 하고 있으며

 

새로운 계정 및 리소스가 생성되어도 보안 표준을 자동으로 적용하며 규정 준수 여부를 지속적으로 모니터링하는

역할을 하고 있습니다.

 

다음으로는 컴퓨팅 자원 및 저장소 보안 서비스에 대해서 알아 보겠습니다

 

2. 컴퓨팅 자원 및 저장소 보안 서비스

AWS는 서버, 컨테이너 환경의 취약점을 제어하고 정적 데이터를 암호화하여 비인가 접근을 차단하는 서비스를 제공하고 있습니다

 

2.1 AWS IAM (Identity and Access Management)

AWS에서 지원하는 컴퓨팅 자원 및 저장소 보안 서비스의 첫 번째는 IAM(Identiy and Access Management)에 대해 알아 보겠습니다.

AWS의 모든 제어 평면요청에 대한 인증 및 인가를 담당하는 게이트웨이 역할을 담당하는 기능이죠

 

가장 우선적으로 IAM이 동작하는 메커니즘을  살펴보면

모든 API 요청은 자격 증명 평가 프로세스를 거치고 기본 명시적 차단(Default Deny) 정책을 따라서 동작을 합니다

다음으로 명시적 허용을 해 줘야 하고  명시적 차단되어 있지 않은 경우에만 요청이 최종 승인 되는 메커니즘을 가지고 있습니다.

 

다음으로 IAM의 구성 요소를 살펴보면

주체 명칭 기능
사용자 Users  AWS 환경을 이용하는 개별 개인 또는
서비스 계정
그룹 Groups 여러 사용자를 모아둔 단위
그룹에 부여된 권한은 속한 모든 사용자에게 동일하게 적용 됨
역할 Roles 작업의 실행 여부를 정의하는 권한의 집합
 임시 보안 자격 증명을 제공할 때 사용
정책 Policy 허용하거나 거부할 작업 및 조건들을 명시한 JSON 문서 형태의 규칙

사용자, 그룹, 역할에 연결하여 권한을 제어

 

 

또한 IAM은 외부의 Identity 공급자와 연동하는 기능 또한 지원 합니다.

기업 내 기존 자격 증명 인프라나 외부 IdP와 연동할 때

애플리케이션 직접 통합 관점에서는 Standard OAuth2 아키텍처 기반의 OpenID Connect(OIDC) 및 SAML 2.0 연동을 지원하여 임시 보안 자격 증명(STS)을 발급하는 연동 체계를 구현하고 있습니다.

 

2.2 Amazon Inspector

다음으로 알아볼 서비스는 Amazon Inspector 서비스 입니다

의도치 않은 네트워크 노출 경로

OS/애플리케이션 취약점을

상시 모니터링하는 중앙 집중형 취약점 관리 시스템입니다.

해당 서비스는 EC2 인스턴스, ECR의 컨테이너 이미지, Lambda 함수 의 리소스를 지속적으로 검사 및 자동으로 검색하고 모니터링을 지원 하고 있습니다.

이름 기능
EC2 취약점 스캔 원리 AWS Systems Manager(SSM) 에이전트를 활용 및 에이전트리스 스캔을 통해 패키지 관리자 데이터베이스를 수집
수집된 소프트웨어 인벤토리를 최신 CVE 데이터베이스와 비교 분석
ECR 컨테이너 스캔 원리 Amazon ECR에 컨테이너 이미지가 푸시되는 시점 및 정기적으로 이미지 내부의 운영체제 패키지 취약점을 스캔
레이어별 위험도를 보고
Lambda 스캔 원리 Lambda 함수의 코드 패키지와 종속성 라이브러리를 자동으로 검사
코드 인젝션이나 알려진 취약 라이브러리 포함 여부를 진단

 

2.3 AWS KMS (Key Management Service) & CloudHSM

 세 번째로는 AWS KMS 와 CloudHSM 서비스 입니다

데이터 암호화 인프라를 구축할 때 규정 준수 요건과 격리 수준에 따라 선택하는 하드웨어 기반 암호화 서비스 이지만

이 둘은 결이 다르다고 볼 수 있죠 

 

먼저 KMS 부터 알아봅시다

 

우선 KMS 는 AWS 환경에서 데이터를 보호하는 암호화 키를 중앙에서 쉽게 생성, 관리 및 제어할 수 있는

관리형 서비스를 나타냅니다

KMS는 AWS 내 여러 서비스 및 애플리케이션에서 사용하는 데이터 암호화/복호화 키(CMK)를 생성하고

수명 주기를 관리하는 서비스를 진행하고

 

AWS가 공유 하드웨어 보안 모듈(HSM) 인프라를 관리하여 비용 효율적이고 사용이 편리하다는 장점이 존재하죠

 

 AWS IAM과 결합하여 세부적인 키 사용 권한 및 접근 제어를 수행할 수 있으며

 

일반적인 AWS 서비스(S3, EBS 등)의 암호화 및 표준 애플리케이션의 키 관리에 적합한 서비스로 국내 여러 은행이나 기업에서도 채용중인 서비스 입니다.

또한  KMS는 하나의 중요한 메커니즘을 가지고 있는데 

바로 봉투 암호화(Envelope Encryption) 메커니즘 입니다.

1. KMS에 저장된 AWS KMS 키는 외부로 절대로 유출되지 않는 루트 키 역할을 가지게 됩니다

 

2. 데이터 암호화 요청 시, KMS는 평문 데이터 키 와 KMS 키로 암호화된 데이터 키 한 쌍을 생성하여 전달합니다.

 

3. 애플리케이션은 평문 데이터 키를 사용해 실제 대용량 데이터를 암호화한 후, 메모리에서 평문 데이터 키를 완전히 파기합니다.

 

4. 암호화된 데이터 파일 바로 옆에 암호화된 데이터 키를 함께 저하여 관리 효율성과 보안성을 동시에 확보합니다.

 

 

 

 

 

다음으로는 CloudHSM 메커니즘을 알아보겠습니다.

KMS가 암호화 키를 중앙에서 쉽게 관리 했다면 HSM은 그와 정반대의 성향을 가지고 있습니다

엄격한 보안 규정 준수를 목표로 하기에 고객이 완전히 통제하는 전용 하드웨어 보안 모듈을 제공하기 때문이죠

클라우드 내에 고객 전용 하드웨어 보안 모듈(HSM) 장비를 제공하여, 물리적/논리적으로 완벽히 격리된 키 관리 환경을 제공하는 서비스를 제공 합니다

 

다중 테넌트방식이 아닌 단일 테넌트 방식을 사용하기에 고객이 하드웨어와 암호화 키를 완전히 통제하며

 

FIPS 140-2 레벨 3 등 높은 수준의 규정 및 보안 표준을 충족해야 하는 경우에 주로 사용이 됩니다 대표적으로는

 금융 거래, 엄격한 데이터 보호 규제(PCI-DSS 등)를 준수해야 하는 엔터프라이즈 환경에 적합하다고 볼 수 있겠네요

 

인프라 공유 하드웨어  전용 하드웨어 
관리 주체 AWS가 이중화 및 가용성 관리 고객이 직접 클러스터 구성 및 관리
권한 관리 IAM 및 리소스 정책 활용 고객이 자체 인증서 및 접근 제어 정의
키 관리 AWS 자동 중앙 관리 고객이 수동으로 제어 및 수행
 

이제 다음으로 AWS의 콘텐츠 보안 서비스에 대해서 알아보겠습니다.

3. 콘텐츠 보안 서비스

AWS의 세 번째 콘텐츠 보안에 대한 서비스 내용 입니다

데이터 전송 과정에서 발생할 수 있는 데이터 스니핑, 중간자 공격(MITM), 콘텐츠 무단 도용을 차단하고 최종 사용자까지 안전하게 데이터를 전달하는 계층의 서비스를 담당하는고 있습니다.

 

우선 첫 번째로 AWS의 CloudFront 기능부터 살펴 보겠습니다

3.1 Amazon CloudFront 보안 기능

전 세계 Edge 로케이션을 통해 전송되는 파일과 웹 애플리케이션의 접근 권한 및 End-to-End 암호화의 고도화를 지원하는 서비스 입니다.

 

기본적으로 DDoS공격 방어 기능을 제공하며 또한 AWS WAF 나 Shield와의 통합 및 국가별 접속 제한을 통해 웹 애플리케이션 보안의 수준을 강화시키는 역할을 하고 있습니다.

 

CloudFront의 주요 기능을 한번 살펴보도록 하겠습니다.

분류 기능 세부 동작
인프라 방어 기본 내장
Anti-DDoS 
AWS Shield Standard가 기본 연동
네트워크 및 전송 계층(L3 / L4)에서 발생하는 대규모 DDoS 공격으로부터 오리진 인프라를 자동으로 보호
애플리케이션 보안 AWS WAF & Shield  웹 애플리케이션 계층(L7) 보안을 강화
사용자 지정 규칙을 통해 SQL 인젝션, XSS및 악성 봇 트래픽을 선제적으로 필터링
통합 관제 보안 대시보드  CloudFront 콘솔 내 내장된 보안 대시보드를 통해 AWS WAF의 실시간 차단 추세, 주요 봇 트래픽 프로파일링 및 상세 요청 로그를 시각화하여 통합 모니터링 환경을 제공
접근 제어 지리적 제한  사용자의 IP 주소를 기반으로 특정 국가에서의 콘텐츠 액세스를 원천 차단하거나 허용함
라이센스저작권 보호 및 지역별 규정 준수에 활용
데이터 보호 End to End 암호화 및 서명 클라이언트와 에지 간 HTTPS 전송 암호화를 지원
프라이빗 콘텐츠의 경우 서명된 URL및 서명된 쿠키를 사용해 인가된 사용자만 접근하도록 제어합니다
오리진 보호 아키텍처 레벨 오리진 보호 외부 공격자가 원본 서버의 IP나 주소로 직접 접근하는 것을 차단
무조건 CloudFront를 거치도록 강제
필요 시 Lambda@Edge를 연동하여 에지 서버에서 맞춤형 인증/인가 로직을 초고속으로 수행합니다.

 

3.2  AWS Certificate Manager (ACM)

다음으로 알아볼 서비스는 웹 서비스 인프라에 적용되는 SSL/TLS 인증서의 수명 주기를 제어하는 자동화 시스템입니다.

 

복잡한 수동 갱신 과정 없이 무료로 공인 인증서를 발급받고
AWS 리소스에 간편하게 연동할 수 있다는 장점을 가지고 있는 서비스 입니다

 분류 기능 세부 동작
비용
최적화
무료 퍼블릭 인증서 AWS 리소스에 적용할 공인 SSL/TLS 인증서를 별도의 발급 비용이나 유지 비용 없이 완전히 무료로 발급받아 사용 가능
운영
자동화
인증서 자동 갱신 인증서가 만료되기 전에 ACM이 백그라운드에서 도메인 소유권을 자동으로 재검증 및 갱신
인증서 만료로 인한 서비스 중단 사고 방지
인프라 연동 원클릭 배포 및 적용  Amazon CloudFront, Elastic Load Balancing(ELB), Amazon API Gateway 등 주요 AWS 전면 서비스에 콘솔 클릭으로 인증서를 배포 및 적용 가능
사설망 보안 프라이빗 CA 통합  AWS Private CA와 통합하여 기업 내부용 사설 SSL/TLS 인증서를 중앙 집중식으로 생성하고 관리
제한적 활용 인증서
내보내기
기능 
AWS Private CA를 통해 발급된 프라이빗 인증서에 한해서만 프라이빗 키와 함께 외부로 내보내기가 가능
AWS 외부 서버나 온프레미스 환경에서 활용할 수 있습니다. ( 일반 무료 퍼블릭 인증서는 내보내기가 불가능합니다.)

 

하지만 간편함을 살려야지 취약함까지 같이 따라오면 안되겠죠?

그래서 ACM은 엄격한 검증 메커니즘을 사용하고 있습니다.

 

도메인 소유권을 검증하기 위해 DNS 검증이메일 검증 두 가지 방식을 지원합니다.
DNS 검증 선택 시 ACM이 제시하는 고유한 CNAME 레코드를 도메인 네임서버(Route 53 등)에 등록하여 자동으로 검증 합니다.

 

또한 ACM의 장점중 가장 큰 하나는 자동으로 인증서를 재 발급 해주는 것인데요

 

ACM으로 발급된 공인 인증서가 ALB, CloudFront 등 AWS 전면 서비스에 연결되어 있고
DNS CNAME 레코드가 유지되고 있다면


만료 60일 전 시스템이 백그라운드에서 소유권을 자동으로 재검증하고 인증서를 갱신 및 배포하여 인증서 만료로 인한 서비스 중단 사고를 방지 하는 방식으로 자동 재 발급을 진행하고 있습니다

 

이제 마지막으로 AWS의 관리형 보안 서비스를 알아보겠습니다.

 

4.관리형 보안 서비스

AWS에서의 관리형 보안 서비스는 인프라의 상시보안 모니터링, 취약점 관리, 위협 탐지 및 사고 대응을 대행하는
서비스를 제공합니다

 

24시간 내내 모니터링을 진행하여 전문 보안 인력이 상주하고 클라우드 환경을 실시간으로 감시 및 분석합니다.

 

또한 머신러닝 기반 시스템이 인스턴스 침해, 계정 도용, 악성코드 등을 자동으로 식별합니다.

 

워크로드 내의 소프트웨어 취약점을 지속적으로 점검하고 보안 조치를 지원하는 취약점 및 패치를 관리하는 서비스와

 

 보안 사고 발생 시 전문적인 인시던트 대응 및 사이버 복구 절차를 수행하는 특징을 가지고 있다고 볼 수 있습니다

 

 

첫 번째로 알아볼 보안 서비스는 AWS Security Hub 입니다

4.1 AWS Security Hub

여러 AWS 보안 서비스 및 파트너 솔루션의 보안 경보와 규정 준수(CSPM) 상태를 중앙에서 통합 수집하여 시각화하고
우선순위를 지정합니다

지정한 우선순위를 토대로 자동 대응하도록 돕는 클라우드 보안 상태 관리 서비스입니다.

 분류 기능 세부 동작 
가시성 및 모니터링 통합 보안
대시보드
Amazon GuardDuty, Amazon Inspector, Amazon Macie 및 서드파티 보안 솔루션에서
생성된 모든 경보와 데이터를 단일 대시보드로 취합
실시간으로 인프라 위험도를 모니터링
규정 준수 관리 보안 표준 및 규정 준수 검사 글로벌 가이드라인을 기준으로 가상 인프라의 설정 오류를 지속적으로 자동 평가하고 보안 점수를 산정
( CIS AWS Foundations Benchmark, PCI DSS, AWS Foundational Security Best Practices 등 )
데이터 표준화 심각도 정규화 경보 포맷을 ASFF라는 공통 JSON 규격으로 변환
이를 통해 서로 다른 서비스의 보안 위협을 동일한 심각도 기준으로 비교 분석 가능
멀티 계정 통제 중앙 집중형 통합 관리 AWS Organizations와 기본적으로 연동 수많은 멀티 계정 및 다중 리전에 분산된 인프라 전체의 보안 경보를 하나의 관리자 계정에서 통합 제어

 

Security Hub는 지정된 방식으로 자동 검사를 하는 매커니즘을 지원하는게 핵심 포인트로 볼 수 있는데

 

 CIS AWS Foundations Benchmark, PCI-DSS, AWS Foundational Security Best Practices 등의
표준 규칙에 따라 가상 인프라의 설정 오류 (S3 버킷 퍼블릭 오픈 여부, Root 계정 MFA 미설정 등)를

 

주기적으로 스캔하고 점수화하여 보고하는 기능을 하고 있습니다.

4.2 Amazon GuardDuty

두 번째로 알아볼 서비스는 Amazon GuardDuty 서비스 입니다

 

인프라 내부의 자원 가용성이나 에이전트 CPU 소모 없이 작동하는 지능형 위협 탐지(IDS) 서비스 라고 할 수 있습니다

 

AWS 환경의 로그를 분석하여 악의적 활동이나 비정상적인 동작을 탐지하는 지능형 위협 모니터링 서비스로


머신러닝과 위협 인텔리전스를 활용해 계정 침해, 악성코드 감염, 데이터 유출 등의 보안 위협을 실시간으로 식별하고 경고합니다.

분류 기능 세부 동작 
로그 분석 데이터
소스 분석
AWS CloudTrail 이벤트 로그  VPC 흐름 로그, DNS 쿼리 로그 등
핵심 인프라 로그를 에이전트 설치 없이 백그라운드에서 통합 분석하여 해킹 시도를 탐지
고도화
위협 식별
멀티스테이지 공격 탐지 복합적으로 관찰되는 여러 보안 시그널을 유기적으로 연결하여
정교하게 진행되는 다단계 공격 시퀀스를 정확히 식별 가능
이상 징후 탐지 머신러닝
기반 이상 탐지
평소 사용하지 않던 리전에서의 갑작스러운 EC2 인스턴스 생성, 암호화 정책 위반, 비정상적인 패턴의 API 호출 등 기존 운영 베이스라인과 다른 변칙 행동을 분석
노이즈 필터링 맞춤형 위협
차단 리스트
신뢰할 수 있는 IP 목록을 지정하여 오탐으로 인한 불필요한 알람 최소화
알려진 악성 IP 목록을 기반으로 위험 요소를 차단
실시간
사고 대응
자동화
대응 조치
위협 탐지 즉시 심각도(낮음, 중간, 높음)를 분류하고, Amazon EventBridge와 연동하여 보안 관리자 알림(Slack, 이메일 등) 전송 및 방화벽 자동 업데이트 등의 조치를 실행
전방위
데이터 보호
보호 범위 확장 기본 컴퓨팅 자원을 넘어 Amazon S3, Amazon EKS, Amazon RDS, AWS Lambda 등
다양한 클라우드 워크로드를 전방위로 보호를 진행 가

 

4.3 Amazon Detective

마지막으로 Amazon Detective 서비스 입니다

 

보안 경고 발생 시 수많은 대용량 로그 속에서 공격의 흐름과 인과관계를 역추적하는 디지털 포렌식 및 침해 사고 조사 분석 서비스입니다.

 

또한 AWS 환경의 잠재적인 보안 문제와 의심스러운 활동을 기계 학습과 그래프 분석을 통해 손쉽게 조사하고 근본 원인을 빠르게 식별하도록 서비스를 제공 합니다.

  •  분류 기능  세부 동작
    시각화 및 분석 통합 데이터 시각화  다양한 소스에서 흩어져 있는 대규모 보안 데이터를 자동으로 집계 및 복잡한 텍스트 로그 대신 이해하기 쉬운 직관적인 시각적 타임라인과 관계도로 제공
    조사  그래프 분석 및 조사 인프라 내에서 발생하는 수조 개의 이벤트 속에서 자원 간의 유기적인 연관 관계를 추론
     잠재적 보안 인시던트의 연결 고리를 식별을 가능하게 함
     추적 머신 러닝 및 위협 인텔리전스 자체 기계 학습 모델과 지속적으로 업데이트되는 최신 위협 인텔리전스 데이터를 결합
    비정상적인 이상 징후를 분석하여 공격과 연관된 특정 리소스 및 IAM 사용자/역할의 과거 행적을 정밀하게 추적 기능 지원
    사고 대응 근본 원인
    식별
     수백만 줄의 원천 로그를 일일이 수작업으로 쿼리하고 분석하는 병목 과정 삭제
     조사 전용 데이터세트를 지원하여 침해 사고의 근본 원인을 신속히 규명 하도록 지원 함

AWS 클라우드 보안은 인프라 경계(네트워크)부터 시작하여 내부 데이터 저장소, 전송 구간, 그리고 지능형 상시 모니터링까지


유기적으로 연결되어 있어야 완벽한 방어가 가능합니다.

 

현재 운영 중인 인프라의 특성에 맞춰 적절한 서비스를 조합해서 사용하는것이 가장 바람직한 방식이라고 생각하고 있습니다