Amazon Web Services 한국 블로그
Amazon Detective – 신속한 보안 조사 및 분석 탐지 서비스 출시 (서울 리전 포함)
약 5년 전에 AWS CloudTrail 데이터를 자동으로 분석해서 민감한 API 사용량에 대한 알림을 생성하는 솔루션에 대한 블로그 글을 올렸습니다. 보안 분석과 자동화를 위한 단순하면서도 기본적인 솔루션이었습니다. 하지만 멀티 AWS 계정을 가진 사용량이 많은 AWS 고객은 여러 소스에서 데이터를 수집하고, 정규식에 기반한 단순 검색으로는 의심스러운 보안 관련 이벤트를 심층 분석할 수 없습니다.
최근에는 자격 증명 유출이나 무단 액세스와 같은 보안 문제가 탐지되면, 사내 보안 분석 전문가들이 여러 데이터 로그를 교차 분석해서 문제의 근본 원인과 환경에 미치는 영향을 파악해야 합니다. 만약 AWS 계정과 신규 애플리케이션이 늘어나면 생겨나면, 보안 분석은 신규 기준을 계속 새롭게 정립하고, 신규 보안 문제를 평가할 때마다 활동의 새로운 패턴을 이해해야만 합니다.
오늘 소개해 드리는 Amazon Detective는 완전 관리형 서비스로, 사용자가 대량의 AWS 로그 데이터를 처리하는 힘든 작업을 자동화하여 보안 문제의 원인과 결과를 알아내도록 지원합니다.Detective를 활성화하면 AWS Guard Duty, AWS CloudTrail, Amazon Virtual Private Cloud 플로우 로그의 데이터를 자동으로 정제하고 체계화하여 AWS 환경 전체에서 관찰된 리소스 동작과 상호작용을 요약한 그래프 모델로 변환하기 시작합니다. 지난 re:Invent 2019에서 Amazon Detective 미리 보기를 공개했으며, 오늘 모든 AWS 고객에게 정식 출시합니다.
Amazon Detective는 기계 학습 모델을 사용하여 계정 동작을 그래프로 표시하고, “이 역할에 대해 비정상적인 API 호출인가?” 또는 “이 인스턴스의 트래픽 급증은 예상했던 것인가?”와 같은 질문에 답을 얻도록 도와줍니다. 코드를 작성하거나, 구성하거나, 쿼리를 튜닝할 필요가 없습니다.
Amazon Detective를 시작하려면 AWS 관리 콘솔을 열고 검색창에 “detective”를 입력한 다음, 검색 결과에서 Amazon Detective를 선택해 서비스를 시작합니다. 서비스를 활성화하고 콘솔 안내에 따라 모니터링할 “멤버” 계정과 데이터를 집계할 “마스터” 계정을 구성합니다.
이렇게 한 번만 설정하고 나면 Amazon Detective가 AWS 원격 측정 데이터를 즉시 분석하기 시작하고 몇 분 이내에 로그인, API 호출, 네트워크 트래픽과 같은 AWS 리소스와 관련 동작을 요약한 시각적 인터페이스 세트에 액세스할 수 있게 됩니다. Amazon Detective 검색창에서 결과 또는 리소스를 검색하면 잠시 후에 지표들의 기준과 현재 값을 시각화할 수 있습니다.
리소스 유형과 ID를 선택하고 여러 가지 그래프를 탐색하기 시작합니다.
또한, AWS Guard Duty와 AWS Security Hub 콘솔에서 기본으로 제공되는 통합을 사용하여 AWS Guard Duty 결과를 조사할 수도 있습니다. AWS Guard Duty의 아무 결과에서나 “조사” 링크를 클릭하면 Amazon Detective 콘솔로 바로 이동해서 관련 세부 사항, 컨텍스트, 조사 지침, 문제 대응 지침을 확인할 수 있습니다. 아래의 예시에서 Guard Duty가 무단 액세스를 보고해서, 이를 조사하기로 했습니다.
Amazon Detective 콘솔이 열립니다.
페이지 아래로 스크롤을 내려서 실패한 API 호출을 그래프로 확인합니다. 그래프에서 막대를 클릭하면 호출이 발생한 IP 주소와 같은 세부 정보를 확인할 수 있습니다.
소스 IP 주소를 확인하고 나면, [새 동작: AWS 역할]을 클릭하여 이 호출이 발생한 위치를 관찰하고 자동으로 발견된 기준과 비교합니다.
Amazon Detective는 모든 AWS 계정에서 사용할 수 있는 다중 계정 솔루션이며, 최대 1,000개의 AWS 계정에서 나온 데이터와 결과를 하나의 보안 “마스터” 계정으로 집계하여 모든 AWS 환경의 동작 패턴과 연결을 간편하게 확인할 수 있습니다.
서비스를 사용하기 위해 에이전트, 센서 또는 추가 소프트웨어를 배포할 필요가 없습니다. Amazon Detective는 AWS Guard Duty, AWS CloudTrail, Amazon Virtual Private Cloud 플로우 로그에서 데이터를 검색하여 집계, 분석합니다. Amazon Detective는 인프라를 건드리지 않고 AWS에서 직접 기존 로그를 수집하기 때문에 비용이나 성능에 영향을 미치지 않습니다.
Amazon Detective는 AWS Management Console 또는 Amazon Detective 관리 API를 통해 관리할 수 있습니다. 관리 API를 사용하면 Amazon Detective를 표준 계정 등록, 활성화 및 배포 프로세스에 구축할 수 있습니다.
Amazon Detective는 리전 기반 서비스입니다. 결과를 분석하고 싶은 모든 AWS 리전에 서비스를 활성화할 수 있습니다. 데이터가 생성된 AWS 리전에서 모든 데이터가 처리됩니다. Amazon Detective는 로그 입력 날짜로부터 연속 1년 간의 데이터 분석 결과와 로그를 동작 그래프로 요약해줍니다. 이를 통해 장기에 걸친 대량의 데이터 세트를 시각적으로 분석하고 심층 분석할 수 있습니다. 서비스를 비활성화하면 데이터를 하나도 남기지 않고 삭제합니다.
Amazon Detective을 사용하는 데 추가 비용을 내거나 사전 약정을 할 필요가 없습니다. AWS CloudTrail, Amazon Virtual Private Cloud 플로우 로그, AWS Guard Duty 결과에서 입력된 데이터에 대해 1GB 기준으로 요금을 부과합니다. Amazon Detective는 30일 무료 체험을 제공합니다. 여느 때와 마찬가지로 자세한 내용은 요금 페이지를 참조하십시오.
Amazon Detective는 중국을 제외한 모든 상업적 AWS 리전에서 제공됩니다. 지금 바로 사용할 수 있습니다.