Amazon Web Services 한국 블로그
Amazon GuardDuty를 통한 S3 버킷 보호 기능 출시
이전에 예고한 대로, 이전에 Amazon Macie에서 사용할 수 있었던 Amazon Simple Storage Service(S3) 활동에 대한 이상 및 위협 탐지 기능이 Amazon GuardDuty에 포함됨에 따라 기능은 향상되고 비용은 80% 이상 줄었습니다. 이제 GuardDuty 위협 탐지 기능의 적용 범위가 워크로드 및 AWS 계정을 넘어, S3에 저장된 데이터의 보호로 확장됩니다.
GuardDuty의 이 새로운 기능은 S3 데이터 액세스 이벤트(일반적으로 데이터 플레인 작업이라고 함) 및 S3 구성(제어 플레인 API)를 지속적으로 모니터링하고 프로파일링하여 비정상적인 지리적 위치에서 오는 요청, S3 블록 퍼블릭 액세스와 같은 예방적 제어 비활성화 또는 버킷 권한 구성 오류를 검색하려는 시도와 일치하는 API 호출 패턴을 포함한 의심스러운 활동을 탐지합니다. GuardDuty는 이상 탐지, 기계 학습 및 지속적으로 업데이트되는 위협 인텔리전스의 조합을 사용하여 악의적 동작을 탐지합니다. 여기에서 GuardDuty S3 위협 탐지의 전체 목록을 참조할 수 있습니다.
위협이 탐지되면 GuardDuty가 상세한 보안 결과를 콘솔 및 Amazon EventBridge로 생성하여 기존 이벤트 관리 및 워크플로 시스템에 손쉽게 통합할 수 있는 실행 가능한 알림을 전송합니다. 또는 AWS Lambda를 사용하여 자동화된 수정 작업을 트리거합니다. 필요한 경우 결과를 S3 버킷으로 전송하여 여러 리전의 결과를 집계하고 타사 보안 분석 도구에 통합할 수 있습니다.
아직 GuardDuty를 사용하지 않는 경우 서비스를 활성화하면 S3 보호가 기본적으로 실행됩니다. GuardDuty를 사용 중이라면 GuardDuty 콘솔에서 클릭 한 번으로 또는 API를 통해 간단하게 이 새로운 기능을 활성화할 수 있습니다. 단순성 및 비용 최적화를 위해 이제 GuardDuty가 S3에 직접 통합되었습니다. 따라서 AWS CloudTrail에서 S3 데이터 이벤트 로깅을 수동으로 활성화하거나 구성할 필요 없이 이 새로운 기능을 활용할 수 있습니다. GuardDuty는 위협 탐지를 생성하는 데 사용할 수 있는 데이터 이벤트만 지능적으로 처리하므로 이벤트 처리 시간이 크게 단축되고 비용이 절감됩니다.
전체 조직의 GuardDuty를 관리하는 중앙 보안 팀의 팀원인 경우 AWS Organizations 통합을 사용하여 단일 계정에서 모든 계정을 관리할 수 있습니다.
AWS 계정의 S3 보호 활성화
이 리전의 AWS 계정에 대해 미리 GuardDuty를 활성화해두었습니다. 이제 S3 버킷에 대한 위협 탐지를 추가하려고 합니다. GuardDuty 콘솔에서 [S3 Protection(S3 보호)]을 선택하고 [Enable(활성화)]을 선택합니다. 이게 다입니다. 추가 보호가 필요하다면 계정의 모든 리전에 대해 이 프로세스를 반복합니다.
몇 분 후 S3 버킷과 관련된 새로운 결과가 표시되기 시작합니다. 각 결과를 선택하여 소스 행위자 및 목표 작업에 대한 세부 정보 등 가능한 위협에 대한 추가 정보를 볼 수 있습니다.
며칠 후, 콘솔의 [Usage(사용량)] 섹션을 선택하여 새 S3 보호 등 계정의 GuardDuty에 대한 예상 월 비용을 모니터링합니다. 추가 비용을 야기하는 S3 버킷을 찾을 수도 있습니다. 최근에 버킷에 트래픽이 많지 않았음을 알 수 있습니다.
AWS Organizations의 S3 보호 활성화
GuardDuty를 AWS Organizations와 통합하면 전체 조직의 GuardDuty에 대한 관리자로 계정을 위임하여 여러 계정의 관리를 간소화할 수 있습니다.
이제, 위임된 관리자가 클릭 한 번으로 리전에 있는 조직의 모든 계정에 대해 GuardDuty를 활성화할 수 있습니다. [Auto-enable(자동 활성화)]을 [ON(켜기)]으로 설정하여 조직의 새 계정을 자동으로 포함할 수도 있습니다. 원하는 경우 초대를 사용하여 계정을 추가할 수 있습니다. 그런 다음 [S3 Protection(S3 보호)] 페이지의 [Settings(설정)]로 이동하여 전체 조직에 대한 S3 보호를 활성화할 수 있습니다.
[Auto-enable(자동 활성화)]을 선택하면 위임된 관리자가 새 멤버 계정에 대한 S3 보호를 자동으로 활성화하도록 선택할 수 있습니다.
정식 출시
늘 그렇듯이 Amazon GuardDuty에서도 위협 탐지로 처리된 로그 및 이벤트 수량에 대해서만 요금이 부과됩니다. 여기에는 CloudTrail에서 캡처된 API 제어 플레인 이벤트, VPC Flow Logs에서 캡처된 네트워크 흐름, DNS 요청 및 응답 로그와 S3 보호가 활성화된 경우 S3 데이터 플레인 이벤트가 포함됩니다. 서비스를 활성화하면 GuardDuty가 내부 통합을 통해 이러한 소스를 수집하므로 직접 소스를 구성할 필요가 없습니다. 서비스는 처리되는 로그 및 이벤트를 지속적으로 최적화하여 비용을 절감하며, 소스별로 분할된 사용량이 콘솔에 표시됩니다. 다중 계정에 구성된 경우 계정으로도 사용량을 분할할 수 있습니다.
새 S3 위협 탐지 기능을 30일간 무료로 사용할 수 있습니다. 이 무료 사용은 이미 GuardDuty가 활성화된 계정에도 적용되며 새 S3 보호 기능을 추가로 사용할 수 있습니다. 평가 중에는 S3 데이터 이벤트 볼륨에 따른 예상 비용이 GuardDuty 콘솔의 [Usage(사용량)] 탭에 계산됩니다. 따라서 무료로 새로운 기능을 평가하는 동안 월 예상 지출을 파악할 수 있습니다.
GuardDuty의 S3 보호 기능은 GuardDuty가 제공되는 모든 리전에서 사용할 수 있습니다. 사용 가능한 리전은 AWS 리전 표를 참조하십시오. 자세히 알아보려면 설명서를 참조하십시오.
— Danilo