Amazon GuardDuty EC2 Runtime Monitoring 정식 출시

Amazon GuardDuty는 다양한 AWS 데이터 소스를 분석 및 처리하고, AWS 계정 및 워크로드를 지속적으로 모니터링하여 악의적인 활동을 찾고, 가시성과 개선을 위해 상세한 보안 조사 결과를 제공하는 기계 학습(ML) 기반 보안 모니터링 및 지능형 위협 탐지 서비스입니다.

저는 운영 체제(OS) 수준, 네트워크 및 파일 이벤트를 분석하여 사용자 환경의 특정 AWS 워크로드에 대한 잠재적 런타임 위협을 탐지하는 GuardDuty 런타임 모니터링 기능을 아주 좋아합니다. Amazon Elastic Kubernetes Service(Amazon EKS) 리소스를 대상으로 이 특성의 정식 출시를 2023년 3월에 처음으로 발표했습니다. Seb은 2023년 11월에 Amazon Elastic Container Service(Amazon ECS) 및 AWS Fargate와 Amazon Elastic Compute Cloud(Amazon EC2) 워크로드의 미리 보기에 대한 위협 감지를 제공하는 런타임 모니터링 기능 확장에 대한 글을 썼습니다.

오늘은 런타임 시 EC2 인스턴스에 대한 위협 탐지 범위를 확장하고 VPC 흐름 로그, DNS 쿼리 로그 및 AWS CloudTrail 관리 이벤트를 지속적으로 모니터링하여 GuardDuty에서 이미 제공하는 이상 탐지를 보완하는, Amazon GuardDuty EC2 런타임 모니터링의 정식 출시를 발표합니다. 이제 탐지된 위협에 대한 호스트, OS 수준의 활동과 컨테이너 수준 컨텍스트를 확인할 수 있습니다.

GuardDuty EC2 런타임 모니터링을 사용하면 EC2 워크로드 내의 컴퓨팅 리소스를 노리는 잠재적 위협을 식별하고 대응할 수 있습니다. EC2 워크로드에 대한 대부분의 위협은 맬웨어 다운로드 및 실행으로 이어지는 원격 코드 실행을 동반합니다. 대표적인 예는 암호화폐 관련 활동과 연관된 IP 주소나, 맬웨어 명령 및 제어 관련 IP 주소로 연결되는 AWS 환경 내 인스턴스 또는 자체 관리형 컨테이너입니다.

GuardDuty 런타임 모니터링을 사용하면 각 단계에서 악성 파일 다운로드 및 실행을 동반하는 의심스러운 명령을 확인하여, 비즈니스에 영향을 미치는 사건이 되기 전에 초기 침해 단계에서 위협을 발견할 수 있습니다. 또한 AWS Organizations를 사용하여 조직 전체의 계정 및 워크로드에 대한 런타임 위협 탐지 적용 범위를 중앙에서 활성화하여, 보안 적용 범위를 간소화할 수도 있습니다.

GuardDuty에서 EC2 런타임 모니터링 설정
클릭 몇 번으로 GuardDuty 콘솔에서 GuardDuty EC2 런타임 모니터링을 활성화할 수 있습니다. 처음 사용할 때는 런타임 모니터링을 활성화해야 합니다.

EC2 런타임 모니터링 특성을 처음 사용하는 고객은 30일 동안 무료로 사용하면서 모든 특성과 조사 결과를 확인할 수 있습니다. GuardDuty 콘솔에 남은 무료 평가판 사용 기간이 표시됩니다.

이제 런타임 동작을 모니터링할 개별 EC2 인스턴스에 대해 GuardDuty 보안 에이전트를 설정할 수 있습니다. GuardDuty 보안 에이전트의 자동 또는 수동 배포를 선택할 수 있습니다. GA에서는 GuardDuty가 사용자를 대신하여 에이전트를 관리하기 때문에 대부분의 고객이 선호하는 옵션인, 자동 에이전트 구성을 활성화할 수 있습니다.

에이전트는 AWS Systems Manager를 통해 EC2 인스턴스에 배포되며 Amazon Virtual Private Cloud(VPC) 엔드포인트를 사용하여 리소스 관련 런타임 이벤트를 수신합니다. GuardDuty 보안 에이전트를 수동으로 관리하려면, AWS 설명서의 보안 에이전트 Amazon EC2 인스턴스 수동 관리를 참조하세요. 다중 계정 환경에서 위임된 GuardDuty 관리자 계정은 AWS Organizations를 사용하여 멤버 계정을 관리합니다. 자세한 내용은 AWS 설명서의 다중 계정 관리를 참조하세요.

EC2 런타임 모니터링을 활성화하면, EC2 인스턴스 런타임 적용 범위 탭에서 적용 대상 EC2 인스턴스 목록, 계정 ID, 적용 범위 상태, 에이전트가 해당 리소스로부터 런타임 이벤트를 수신할 수 있는지 여부를 확인할 수 있습니다.

적용 범위 상태가 Unhealthy인 경우에는 현재 런타임 조사 결과를 수신할 수 없지만, EC2 인스턴스에 대한 심층 방어는 여전히 가능합니다. GuardDuty는 CloudTrail, VPC 흐름 및 이와 관련된 DNS 로그를 모니터링하여 EC2 인스턴스에 대한 위협 탐지를 계속 제공합니다.

GuardDuty EC2 런타임 보안 조사 결과 확인
GuardDuty가 잠재적 위협을 탐지하고 보안 조사 결과를 생성하면 정상 정보의 세부 정보를 볼 수 있습니다.

Amazon EC2 리소스와 관련된 보안 조사 결과를 찾으려면 왼쪽 창에서 Findings를 선택합니다. 필터 창을 사용하여 인스턴스의 리소스 유형 같은 특정 기준을 기준으로 조사 결과 표를 필터링할 수 있습니다. 조사 결과의 심각도 및 세부 정보는 EC2 리소스가 의심스러운 활동의 대상인지, 아니면 활동을 수행한 행위자인지를 나타내는 리소스 역할에 따라 달라집니다.

오늘 이 기능의 출시로 AWS는 악용된 도메인, 백도어, 암호 화폐 관련 활동, 무단 통신 탐지를 비롯한, EC2 인스턴스에 대한 30개 이상의 런타임 보안 조사 결과를 지원합니다. 전체 목록은 AWS 설명서의 런타임 모니터링 조사 결과 유형을 참조하세요.

EC2 보안 조사 결과 해결
각 EC2 보안 조사 결과를 선택하여 자세한 내용을 확인하세요. 조사 결과와 관련된 모든 정보를 찾고, 대상 리소스를 검사하여 예상대로 작동하는지 확인할 수 있습니다.

승인된 활동인 경우 억제 규칙이나 신뢰할 수 있는 IP 목록을 사용하여 해당 리소스의 오탐 알림을 방지할 수 있습니다. 예상치 못한 활동인 경우, 보안 모범 사례는 인스턴스가 손상되었다고 가정한 다음 AWS 설명서의 잠재적 손상된 Amazon EC2 인스턴스 수정에서 자세하게 설명하는 조치를 취하는 것입니다.

GuardDuty EC2 런타임 모니터링을 AWS Security Hub나 Amazon Detective 같은 다른 AWS 보안 서비스와 통합할 수 있습니다. Amazon EventBridge를 사용하여 Splunk, Jira, ServiceNow 같은 보안 이벤트 관리 또는 워크플로 시스템과 통합하거나, 조사를 위해 워크로드를 분리하는 등의 자동 및 반자동 응답을 트리거할 수도 있습니다.

Investigate with Detective를 선택하면 AWS 리소스를 위한 Detective에서 생성한 시각화를 확인하여 보안 문제를 쉽고 빠르게 조사할 수 있습니다. 자세한 내용은 AWS 설명서의 Amazon Detective와의 통합을 참조하세요.

주요 사항
이제 Amazon Linux 2 또는 Amazon Linux 2023를 실행하는 EC2 인스턴스에서 GuardDuty EC2 런타임 모니터링 지원이 제공됩니다. 에이전트의 최대 CPU 및 메모리 제한을 구성할 수 있습니다. 향후 업데이트 사항을 자세히 알아보려면 AWS 설명서의 Amazon EC2 인스턴스 지원 사전 조건을 참조하세요.

GuardDuty의 예상 일일 평균 사용 비용을 확인하려면 왼쪽 창에서 Usage를 선택합니다. 30일 무료 평가판 기간에는 평가 기간 종료 후의 예상 비용을 확인할 수 있습니다. 평가 기간이 끝나면 모니터링 에이전트에 대해 매월 추적된 vCPU 시간별 요금이 청구됩니다. 자세한 내용은 Amazon GuardDuty 요금 페이지를 참조하세요.

EC2 런타임 모니터링을 활성화하면 GuardDuty 비용을 절감할 수도 있습니다. 특성이 활성화되면, 보안 에이전트를 실행하는 EC2 인스턴스에서 가져온 GuardDuty 기본 보호 VPC 흐름 로그 관련 요금이 부과되지 않습니다. 보안 에이전트가 유사하지만 좀 더 상황에 맞는 네트워크 데이터를 제공하기 때문입니다. 또한 GuardDuty에서 계속 VPC 흐름 로그를 처리하고 관련 조사 결과를 생성하므로, 에이전트에 다운타임이 발생하더라도 네트워크 수준 보안 지원을 계속 받을 수 있습니다.

정식 출시
이제 Amazon GuardDuty EC2 런타임 모니터링을 (AWS GovCloud(미국) 리전과 AWS 중국 리전을 제외한, GuardDuty가 제공되는 모든 AWS 리전에서 사용할 수 있습니다. EC2 런타임 모니터링을 사용할 수 있는 리전의 전체 목록을 보려면 리전별 특성 사용 가능 여부를 참조하세요.

GuardDuty 콘솔에서 GuardDuty EC2 런타임 모니터링을 사용해 보세요. 자세한 내용은 Amazon GuardDuty 사용자 설명서를 참조하고, Amazon GuardDuty용 AWS re:Post 또는 일반적인 AWS Support로 피드백을 보내주세요.

— Channy