Amazon Web Services 한국 블로그

Amazon FSx for Windows File Server – 파일 액세스 감사 기능 출시

Amazon FSx for Windows File Server는 업계 표준 SMB(Server Message Block) 프로토콜을 통해 액세스할 수 있는 완전관리형 파일 스토리지를 제공합니다. 또한 Windows Server를 기반으로 하며, AWS에서 기대할 수 있는 확장성, 안정성, 낮은 비용으로 다양한 엔터프라이즈 스토리지 기능 세트를 제공합니다.

이제 AWS 팀은 사용자 할당량, 최종 사용자 파일 복원, Microsoft Active Directory 통합과 같은 주요 기능 외에도 Windows 이벤트 로그를 사용하여 파일, 폴더 및 파일 공유에 대한 최종 사용자 액세스 감사를 위한 지원을 추가했습니다.

파일 액세스 감사 소개
파일 액세스 감사를 사용하면 로그를 쿼리, 처리, 저장할 수 있도록 다양한 다른 AWS 서비스에 로그를 보낼 수 있습니다. 파일 액세스 감사를 사용함으로써 엔터프라이즈 스토리지 관리자 및 규정 준수 감사자는 시간이 지나면서 로그가 증가함에 따라 스토리지를 관리할 필요는 없이 보안 및 규정 준수 요구 사항을 충족할 수 있습니다. 파일 액세스 감사는 금융 서비스 및 의료 서비스 산업과 같은 규제 대상 고객에게 특히 중요합니다.

Windows 이벤트 로그 형식으로 감사 이벤트를 게시할 대상을 선택할 수 있습니다. 대상 옵션은 Amazon CloudWatch Logs에 로깅하거나 Amazon Kinesis Data Firehose로 스트리밍하는 것입니다. 여기에서 CloudWatch Logs의 로그를 확인 및 쿼리하거나, Amazon Simple Storage Service(Amazon S3)에 로그를 보관하거나, Splunk 및 Datadog와 같은 AWS 파트너 솔루션을 사용하여 로그를 모니터링할 수 있습니다.

또한 새 감사 이벤트에 의해 트리거되는 Lambda 함수를 설정할 수도 있습니다. 예를 들어 무단 액세스가 발생할 때 데이터 보안 담당자에게 알림을 보내도록 AWS LambdaAmazon CloudWatch 경보를 구성할 수 있습니다.

새 파일 시스템에서 파일 액세스 감사 사용
새 파일 시스템에서 파일 액세스 감사를 활성화하려면 Amazon FSx 콘솔로 이동하여 [파일 시스템 생성(Create file system)]을 선택합니다. [파일 시스템 유형 선택(Select file system type)] 페이지에서 [Amazon FSx for Windows File Server]를 선택한 후 파일 시스템의 다른 설정을 구성합니다. 감사 기능을 사용하려면 다음과 같이 [처리량 용량(Throughput capacity)]이 32MB/s 이상이어야 합니다.

파일 시스템 생성 스크린샷

[감사(Auditing)]에서 [파일 액세스 감사(File access auditing)]가 기본적으로 활성화되어 있음을 알 수 있습니다. [고급(Advanced)]의 [이벤트 로그 대상 선택(Choose an event log destination)]에서 사용자 액세스 이벤트를 게시할 대상을 변경할 수 있습니다. [CloudWatch Logs]를 선택한 후 내 계정의 CloudWatch Logs 로그 그룹을 선택합니다.

[감사(Auditing)] 옵션 스크린샷

파일 시스템이 생성되면 새로운 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 시작하여 Active Directory에 조인합니다. 인스턴스를 사용할 수 있게 되면 원격 데스크톱 클라이언트를 사용하여 해당 인스턴스에 연결합니다. 파일 탐색기를 열고 설명서에 따라 새 파일 시스템을 매핑합니다.

매핑된 파일 시스템 스크린샷

Windows 탐색기에서 파일 시스템을 연 후 마우스 오른쪽 버튼으로 클릭하여 [속성(Properties)]을 선택합니다. [보안(Security)], [고급(Advanced)], [감사(Auditing)]를 선택한 후 [추가(Add)]를 선택하여 새 감사 항목을 추가합니다. 감사 항목 페이지의 [보안 주체(Principal)]에서 [보안 주체 선택(Select a principal)]을 클릭합니다. 여기서 선택한 대상을 감사하게 됩니다. [모두(Everyone)]를 선택합니다. 다음으로, [유형(Type)]에 대해 원하는 감사 유형, 즉 성공(Success)/실패(Fail)/모두(All)를 선택합니다. [기본 권한(Basic permissions)]에서 감사하려는 권한에 대해 [모든 권한(Full control)]을 선택합니다.

파일 공유에 대한 감사 옵션 스크린샷

감사를 설정했으므로 이제 폴더를 몇 개 만듭니다. 그리고 파일을 몇 개 만들고 수정합니다. 이제 이 모든 활동이 감사되며 로그가 CloudWatch Logs로 전송됩니다.

몇 개의 파일 및 폴더가 생성된 파일 공유 스크린샷

CloudWatch Logs Insights 콘솔에서 감사 로그 쿼리를 시작할 수 있습니다. 아래에서 특정 파일과 관련된 모든 로그를 찾는 간단한 쿼리를 어떻게 실행했는지 확인할 수 있습니다.

AWS CloudWatch Logs Insights 스크린샷

지속적인 모멘텀
파일 액세스 감사는 자체 관리형 디렉터리, 네이티브 다중 AZ 파일 시스템, SQL Server 지원, 세분화된 파일 복원, 온프레미스 액세스, 원격 관리 CLI, 데이터 중복 제거, 프로그래밍 방식 파일 공유 구성, 전송 중 암호화 적용, 스토리지 크기 및 처리 용량 확장, 스토리지 할당량을 비롯하여 최근에 팀이 출시한 여러 기능 중 하나입니다.

요금
파일 액세스 감사는 Amazon FSx for Windows File Server에서 무료로 제공됩니다. Amazon CloudWatch Logs, Amazon Kinesis Data Firehose, 다운스트림 AWS 서비스(예: Amazon Redshift, S3 또는 AWS Lambda), AWS 파트너 솔루션(예: Splunk 및 Datadog) 등의 사용에는 표준 요금이 적용됩니다.

정식 출시
Amazon FSx for Windows File Server가 제공되는 모든 AWS 리전에서 오늘부터 모든 새 파일 시스템에 대해 파일 액세스 감사를 사용할 수 있습니다. 자세한 내용은 설명서를 참조하세요.

– Martin