2. 탐지 제어

[로그 캡처 및 수집]

탐지 제어는 거버넌스 프레임워크의 필수적인 부분이며, 잠재적 보안 위협 또는 사고를 식별하는 데 사용할 수 있습니다.

AWS에서 탐지 제어를 처리하는 경우 다수의 접근 방식을 고려할 수 있습니다.

 

CloudTrail

계정에 대한 API 호출을 기록합니다. AWS 리소스의 변경 사항을 추적하고 운영 문제를 해결하여 내부 정책 및 규정 표준의 준수 여부를 확인할 수 있습니다. 누가 요청했는지, 언제 어디서 실행했는지, 어떤 인스턴스를 실행했는지 알 수 있습니다. 규정 준수를 입증하는 방법 중 하나는 모든 CloudTrail 로그를 변경 불가능한 형태로 유지하는 것입니다. 예를 들면 계정 A가 CloudTrail을 사용하여 모든 작업을 추적하는 경우 모든 로그를 계정 B로 복사하는 것입니다. 그리고 계정 A의 사용자는 B에 액세스 할 수 없게 설정하며, 반대로 동일한 설정을 하는 것입니다.

---

[모니터링 및 알림]

조직에서는 보통 운영 및 플랫폼에 보안 알림을 통합합니다. 변경을 감지하고, 변경이 적절한지 여부를 판단한 다음, 이 정보를 올바른 수정 워크플로로 라우팅할 수 있어야 합니다.

 

CloudWatch

잠재적인 불필요한 변경을 반영하는 이벤트 및 정보를 적절한 워크플로로 라우팅할 수 있습니다. 리소스와 로그를 모니터링하고, 알림을 전송하며, 수정을 위한 자동화된 작업을 트리거할 수 있습니다. 일련의 과정은 다음과 같습니다.

 

1) CloudWatch 에이전트

 - Amazon EC2 인스턴스와 CloudWatch 간의 통신을 허용합니다.

 

2) CloudWatch Events

 - AWS 리소스로 시스템 이벤트의 스트림을 거의 실시간으로 제공합니다. 

 

3) AWS Lambda

 - 이벤트가 보안 검사 실패와 같은 특정 규칙을 충족하면 AWS Lambda 함수가 트리거되어 상황을 해결합니다.

 

4) CloudWatch Alarms

 - 지표 변경을 통해 CloudWatch 경보를 트리거하여 알림을 보내거나 모니터링 중인 리소스를 자동으로 변경할 수 있습니다. 경보가 트리거되고 복구 작업이 시작되면 Amazon SNS로 알림을 받을 수 있습니다.

 

5) 알림용 Amazon SNS

Simple Notification Service는 유연한 완전관리형 메시징 및 모바일 알림 서비스입니다. 구독 엔드포인트 및 클라이언트에 대한 메시지 전달을 조정합니다.

---

[AWS에서 감사 시행]

감사자는 AWS Managerment Console을 AWS CLI와 함께 사용하여 다수의 규제, 표준 및 산업 기관에 적용되는 강력한 결과를 생성할 수 있습니다.

 

1) Amazon S3 서버 액세스 로그 

 - 버킷에서 로깅에 대한 감사를 시행할 수 있습니다. 액세스 로그는 요청 유형, 요청 리소스 및 요청 제출 날짜와 시간 같은 요청 세부 정보가 포함됩니다.

 

2) Elastic Load Balancer 액세스 로그 

 - 어플라이언스에 대한 로그의 경우 자체 액세스 로그를 사용하여 감사를 시행할 수 있습니다. ELB 엑세스 로그는 클라이언트의 IP주소, 지연 시간 및 서버 응답을 포함하여 로드 밸런서에 전송된 각 요청에 대한 자세한 정보를 캡처합니다.

 

3) Amazon CloudWatch Logs 및 Events

 - AWS 환경에서 실행 중인 모든 운영 체제와 애플리케이션을 모니터링하여 문제를 해결하는데 사용됩니다. CloudWatch Logs를 활성화하면 로그를 모니터링하여 특정 문구, 패턴 또는 값을 확인할 수 있습니다. Events를 모티너링하여 CloudWatch 규칙 모음의 전반적인 활동 수준을 추적해야 합니다.

 

4) Amazon VPC 흐름 로그 

 - VPC에 대한 감사를 시행하여 연결 및 보안 문제를 파악할 수 있습니다. 네트워크 액세스 규칙이 올바로 구성되어 있는지 확인도 가능합니다. 네트워크 인터페이스 및 서브넷으로 송수신되는 IP 트래픽에 대한 정보를 캡처합니다.

 

5) CloudTrail 로그

 - 콘솔, AWS CLI, AWS SDK 또는 기타 AWS 서비스를 통해 이루어진 계정에 대한 API 호출 기록을 얻을 수 있습니다.

---

[탐지 제어를 위한 추가 AWS 서비스]

모니터링 및 로깅과 관련하여 AWS는 다양한 도구와 서비스를 제공합니다.

 

1) Amazon GuardDuty

 - 고객의 AWS 계정과 워크로드를 지속적으로 모니터링하고 보호할 수 있는 방법을 제공하는 지능형 위협 탐지 서비스입니다. 통합된 위협 인텔리전스 피드를 통해 의심되는 공격자를 식별하고, 기계 학습을 사용하여 계정 및 워크로드 활동에서 변칙을 탐지합니다. 고객의 계정이 손상되었을 수 있음을 나타내는 비정상적인 API 호출이나 무단 배포와 같은 활동과 손상된 인스턴스 또는 공격자의 정찰 같은 직접적 위협을 모니터링합니다.

 

2) AWS Trusted Advisor

 - 모범 사례를 바탕으로 AWS 환경을 검사여 비용 절감, 시스템 성능 개선 또는 보안 결함 해결을 위한 권장 사항을 제시하는 서비스 

 

3) AWS Security Hub

 - AWS 계정 전반에 걸쳐 우선 순위가 높은 보안 경고 및 규정 준수 상태를 단일 위치에서 확인할 수 있는 서비스

---

[AWS 서비스 스포라이트]

AWS Config

규정을 위반하는 구성을 거의 실시간으로 탐지하는 데 도움이 되는 지속적인 모니터링 및 평가 서비스입니다. 리소스의 현재 및 과거 구성을 확인하고, 이 정보를 사용하여 중단 문제를 해결하고 보안 공격 분석을 수행할 수 있습니다. 또한, 리소스에 대한 지속적인 평가 검사를 실행하여 자체 보안 정챡, 업계 모범 사례 및 규정 준수 표준을 준수하는지 확인할 수 있습니다.