Amazon Web Services 한국 블로그

AWS CloudTrail, VPC 엔드포인트용 네트워크 활동 이벤트 정식 출시

AWS CloudTrail에서 Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트용 네트워크 활동 이벤트를 정식 출시합니다. 이 기능을 사용하면 VPC 엔드포인트를 통과하는 AWS API 활동을 로깅하고 모니터링할 수 있으므로 데이터 경계를 강화하고 더 효과적인 탐지 제어를 구현할 수 있습니다.

이전에는 잠재적인 데이터 유출 시도와 VPC 엔드포인트를 통한 네트워크 내 리소스에 대한 무단 액세스를 탐지하기 어려웠습니다. 외부 계정으로부터의 액세스를 차단하도록 VPC 엔드포인트 정책을 구성할 수는 있지만 거부된 작업을 로깅하거나 VPC 엔드포인트에서 외부 자격 증명이 사용된 시기를 탐지하는 기본 제공 메커니즘은 없었습니다. 이를 위해서는 TLS 트래픽을 검사 및 분석하기 위한 사용자 지정 솔루션을 구축해야 하는 경우가 많은데, 이렇게 하면 운영 비용이 많이 들고 암호화된 통신의 이점이 무력화될 수 있었습니다.

이 새로운 기능을 통해 이제 VPC 엔드포인트를 통과하는 모든 AWS API 활동을 로깅하도록 선택할 수 있습니다. CloudTrail은 이러한 이벤트를 네트워크 활동 이벤트라는 새로운 이벤트 유형으로 기록합니다. 이 이벤트는 VPC 엔드포인트를 통과하는 컨트롤 플레인 및 데이터 플레인 작업을 모두 캡처합니다.

CloudTrail의 네트워크 활동 이벤트는 다음과 같은 몇 가지 주요 이점을 제공합니다.

  • 포괄적인 가시성 – 작업을 시작한 AWS 계정과 상관없이 VPC 엔드포인트를 통과하는 모든 API 활동을 기록합니다.
  • 외부 자격 증명 탐지 – 조직 외부의 자격 증명이 VPC 엔드포인트에 액세스하는 시점을 식별합니다.
  • 데이터 유출 방지 – 잠재적인 무단 데이터 이동 시도를 탐지하고 조사합니다.
  • 향상된 보안 모니터링 – TLS 트래픽을 해독할 필요 없이 VPC 엔드포인트의 모든 AWS API 활동에 대한 인사이트를 얻을 수 있습니다.
  • 규정 준수를 위한 가시성 – 통과하는 모든 API 활동을 추적하여 규제 요구 사항을 충족하는 능력을 개선합니다.

VPC 엔드포인트 로깅을 위한 네트워크 활동 이벤트 시작하기
네트워크 활동 이벤트를 활성화하려면 AWS CloudTrail 콘솔로 이동하여 탐색 창에서 Trails를 선택합니다. Create trail을 선택하여 새 추적을 생성합니다. Trail name 필드에 이름을 입력하고 이벤트 로그를 저장할 Amazon Simple Storage Service(Amazon S3) 버킷을 선택합니다. CloudTrail에서 추적을 생성할 때 기존 Amazon S3 버킷을 지정할 수도 있고 새 버킷을 생성하여 추적의 이벤트 로그를 저장할 수도 있습니다.

Log file SSE-KMS encryptionEnabled로 설정하면 두 가지 옵션이 있습니다. New를 선택하여 새 AWS Key Management Service(AWS KMS) 키를 생성하거나 Existing을 선택하여 기존 KMS 키를 선택합니다. New를 선택한 경우 AWS KMS alias 필드에 별칭을 입력해야 합니다. CloudTrail은 이 KMS 키로 로그 파일을 암호화하고 사용자를 위한 정책을 추가합니다. KMS 키와 Amazon S3는 동일한 AWS 리전에 있어야 합니다. 이 예에서는 기존 KMS 키를 사용합니다. AWS KMS alias 필드에 별칭을 입력하고 나머지 필드는 기본값 그대로 둡니다. Next를 선택하여 다음 단계로 넘어갑니다.

Choose log events 단계에서 Events 아래의 Network activity events를 선택합니다. cloudtrail.amazonaws.com, ec2.amazonaws.com, kms.amazonaws.com, s3.amazonaws.com, secretsmanager.amazonaws.com과 같은 AWS 서비스 목록에서 이벤트 소스를 선택합니다. 이 데모에서는 네트워크 활동 이벤트 소스 두 개를 추가합니다. 첫 번째 소스로 ec2.amazonaws.com 옵션을 선택합니다. Log selector template의 경우 일반적인 사용 사례에서 템플릿을 사용하거나 특정 시나리오에서 세분화된 필터를 생성할 수 있습니다. 예를 들어 VPC 엔드포인트를 통과하는 모든 API 활동을 로깅하려면 Log all events 템플릿을 선택할 수 있습니다. 저는 액세스가 거부된 이벤트만 로깅하기 위해 Log network activity access denied events 템플릿을 선택하겠습니다. 선택적으로 Selector name 필드에 이름을 입력하여 로그 선택기 템플릿을 식별할 수 있습니다(예: Include network activity events for Amazon EC2).

두 번째 예로, Custom을 선택하여 eventName, vpcEndpointId와 같은 여러 필드에 사용자 지정 필터를 생성합니다. 특정 VPC 엔드포인트 ID를 지정하거나 특정 기준과 일치하는 VPC 엔드포인트만 포함하도록 결과를 필터링할 수 있습니다. Advanced event selectors의 경우 Field 드롭다운에서 vpcEndpointId를 선택하고, Operatorequals를 선택한 다음, VPC 엔드포인트 ID를 입력합니다. JSON 보기를 확장하면 이벤트 선택기가 JSON 블록으로 표시됩니다. Next를 선택하고 선택 항목을 검토한 다음, Create trail을 선택합니다.

구성이 완료되면 CloudTrail이 VPC 엔드포인트에 대한 네트워크 활동 이벤트 로깅을 시작하므로 이 데이터를 분석하고 조치를 취할 수 있습니다. AWS CloudTrail 네트워크 활동 이벤트를 분석하려면 CloudTrail 콘솔, AWS Command Line Interface(AWS CLI) 또는 AWS SDK를 사용하여 관련 로그를 검색할 수 있습니다. 또한 CloudTrail Lake를 사용하여 네트워크 활동 이벤트를 캡처, 저장, 분석할 수도 있습니다. Trails를 사용하는 경우 Amazon Athena를 사용하여 특정 기준에 따라 이러한 이벤트를 쿼리하고 필터링할 수 있습니다. 이러한 이벤트를 정기적으로 분석하면 보안을 유지하고 규정을 준수하며 AWS의 네트워크 인프라를 최적화하는 데 도움이 될 수 있습니다.

정식 출시
VPC 엔드포인트 로깅을 위한 CloudTrail 네트워크 활동 이벤트는 보안 태세를 강화하고, 잠재적 위협을 탐지하고, VPC 네트워크 트래픽에 대한 심층적인 인사이트를 얻을 수 있는 강력한 도구를 제공합니다. 이 기능은 AWS 환경에 대한 포괄적인 가시성과 제어에 대한 중요한 요구 사항을 해결합니다.

VPC 엔드포인트용 네트워크 활동 이벤트는 모든 상용 AWS 리전에서 이용할 수 있습니다.

요금 정보는 AWS CloudTrail 요금을 참조하세요.

CloudTrail 네트워크 활동 이벤트를 시작하려면 AWS CloudTrail을 방문하세요. CloudTrail 및 해당 기능에 대한 자세한 내용은 AWS CloudTrail 설명서를 참조하세요.

– Esra