Amazon GuardDuty – 인공 지능 기반 지속적인 보안 모니터링 및 위협 감지 서비스 출시

IT 인프라(AWS 계정 및 자격 증명, AWS 리소스, 게스트 운영 체제 및 애플리케이션)에 대한 위협은 형태와 규모를 가리지 않습니다! 온라인 세계는 위험한 곳이 될 수 있습니다. 따라서 우리는 여러분이 IT 인프라를 안전하게 유지할 수 있는 도구, 지식 및 시각을 갖도록 하고 싶습니다.

신규 보안 서비스인 Amazon GuardDuty는 다수의 퍼블릭 및 AWS 생성 데이터 피드를 통해 정보를 얻고 기계 학습으로 구동되는 GuardDuty는 무언가 잘못되었음을 인식할 수 있는 신호인 트렌드, 패턴, 그리고 이상을 얻기 위해 수십억 개의 이벤트를 분석합니다. 이를 클릭 한 번에 활성화하고 몇 분 내에 최초 결과를 확인할 수 있습니다.

지능형 보안 서비스 운영 방법
GuardDuty는 여러 위협에 대한 지능형 피드, 악성 IP 주소 인지, 사기 도메인, 그리고 무엇보다 AWS 계정 내 악의적인 또는 권한이 없는 행동을 정확하게 식별하는 학습을 포함한 여러 데이터 스트림을 파악합니다. VPC Flow Logs, AWS CloudTrail 이벤트 로그 및 DNS 로그에서 모은 정보를 조합하여 GuardDuty가 알려진 취약성에 대한 프로브, 포트 스캔 및 프로브, 그리고 비정상적인 위치에서의 액세스를 포함한 다양한 유형의 위험하고 악의적인 행동을 감지할 수 있도록 합니다. AWS 측에서는 권한 없는 배포, 비정상적인 CloudTrail 활동, AWS API 기능에 대한 액세스 패턴 및 여러 서비스 제한 초과 시도와 같은 의심스러운 AWS 계정 활동을 찾습니다. GuardDuty는 또한 악의적인 엔터티 또는 서비스와 소통하는 손상된 EC2 인스턴스, 데이터 유출 시도 및 암호 화폐를 채굴하는 인스턴스를 찾습니다.

GuardDuty는 AWS 인프라에서 작동하며, 워크로드의 성능 또는 안정성에 영향을 끼치지 않습니다. 어떠한 에이전트, 센서 또는 네트워크 어플라이언스를 설치할 필요가 없습니다. 이 깔끔하고 공간을 사용하지 않는 모델은 보안 팀에게 매력적일 것이고, 모든 AWS 계정에 걸쳐 GuardDuty를 사용할 수 있습니다.

결과는 세 가지 수준(낮음, 중간 또는 높음) 중 하나로 표시되며, 세부적인 증거와 해결 권장 사항이 함께 표시됩니다. 이 결과는 또한 Amazon CloudWatch Events로 사용 가능하며, 이를 통해 자체적인 AWS Lambda 함수를 사용하여 자동적으로 특정 유형의 문제를 해결하는 것이 가능합니다. 이러한 메커니즘을 통해 손쉽게 GuardDuty 결과를 Splunk, Sumo Logic 및 PagerDuty와 같은 이벤트 관리 시스템과 JIRA, ServiceNow 및 Slack과 같은 워크플로우 시스템으로 푸시할 수 있습니다.

서비스 둘러보기
간략하게 둘러보겠습니다. GuardDuty 콘솔을 열고 [Get started]를 클릭합니다. (이하는 영문 콘솔 기반으로 설명해 드리겠습니다.)

그런 다음 GuardDuty를 활성화하겠다고 확인합니다. [Enable GuardDuty]를 클릭함으로써 적절한 서비스 연결 역할을 설정하고 로그를 분석할 권한이 생깁니다.

제 AWS 환경이 그렇게 좋은 것은 아니니 이제 [General Settings]로 이동한 다음 [Generate sample findings]를 클릭하여 계속 진행하겠습니다. 몇 가지 흥미로운 결과가 나왔습니다.

결과를 클릭하면 자세히 알아볼 수 있습니다.

돋보기 아이콘을 통해 관련 리소스, 작업 또는 기타 값에 대한 추가 또는 제외 필터를 생성할 수 있습니다. 이 인스턴스에 관한 모든 결과에 대한 필터링이 가능합니다.

제 환경에 대한 특정 신뢰할 수 있는 IP 주소 목록과 악성 IP 주소 목록을 추가하여 GuardDuty를 사용자 지정할 수 있습니다.

관리자 계정에서 GuardDuty를 활성화한 후에는 다른 계정에 참여 초대를 보낼 수 있습니다.

계정이 참여를 결정하고 나면 GuardDuty가 계정에 대한 결과를 정리하여 관리자 계정과 공유합니다.

제게 주어진 시간과 공간이 제한적인 관계로 GuardDuty를 표면적으로만 살펴보았습니다. 30일 동안 무료로 사용할 수 있으며, 이후에는 VPC 흐름, CloudTrail 및 DNS 로그에서 GuardDuty가 처리한 항목의 수에 따라 지불하면 됩니다.

지금 이용 가능
Amazon GuardDuty는 미국 동부(버지니아 북부), 미국 동부(오하이오), 미국 서부(오레곤), 미국 서부(캘리포니아 북부), EU(아일랜드), EU(프랑크푸르트), EU(런던), 남아메리카(상파울루), 캐나다(중부), 아시아 태평양(도쿄), 아시아 태평양(서울), 아시아 태평양(싱가포르), 아시아 태평양(시드니) 및 아시아 태평양(뭄바이) 리전에서 프로덕션 형식으로 사용 가능하며 오늘부터 바로 시작할 수 있습니다!

– Jeff;

이 글은 AWS re:Invent 2017 신규 서비스 출시 소식으로 Amazon GuardDuty – Continuous Security Monitoring & Threat Detection의 한국어 번역입니다.