Amazon Web Services 한국 블로그

Amazon CloudWatch Logs 민감 데이터 보호 기능 출시

오늘, 패턴 매칭과 기계 학습(ML)을 활용하여 전송 중인 민감한 로그 데이터를 보호하고 감지하는 Amazon CloudWatch Logs의 새로운 기능인 Amazon CloudWatch Logs 데이터 보호를 발표합니다.

개발자는 주민등록 번호, 신용 카드 정보, 이메일 주소 및 비밀번호와 같은 민감한 정보가 로깅되지 않도록 노력하지만 가끔 기록됩니다. 지금까지 고객은 수동 조사 또는 타사 솔루션을 사용하여 민감한 정보를 감지하고 기록되지 않도록 방지했습니다. 수집 중에 민감한 데이터를 삭제하지 않으면 로그 및 해당 로그를 사용한 모든 다운스트림 시스템에서 일반 텍스트로 표시됩니다.

조직 전체에 방지 조치를 적용하는 것은 쉽지 않습니다. 따라서 보안 및 규정 준수 관점에서 로그에 있는 민감한 데이터에 대한 액세스를 신속하게 감지하고 방지하는 것이 중요합니다. 이제 Amazon CloudWatch Logs 데이터 보호를 활성화하여 CloudWatch Logs로 수집 중이거나 전송 중인 민감한 로그 데이터를 감지하고 마스킹할 수 있습니다.

기본 데이터 보호 기능을 활용하려는 모든 업계의 고객은 이 기능을 활용할 수 있습니다. 그러나 개인 정보가 노출되지 않도록 해야 하는 엄격한 규제가 적용되는 산업에 특히 유용합니다. 또한 개인 및 민감 정보가 캡처될 수 있는 결제 또는 인증 서비스를 구축하는 고객은 이 새로운 기능을 사용하여 민감한 정보가 로깅될 때 해당 정보를 감지하고 마스킹할 수 있습니다.

시작하기
AWS Management Console, AWS Command Line Interface(CLI) 또는 AWS CloudFormation에서 신규 또는 기존 로그 그룹에 대한 데이터 보호 정책을 활성화할 수 있습니다. 콘솔에서 원하는 로그 그룹을 선택하고 Data protection(데이터 보호) 탭에서 데이터 보호 정책을 생성합니다.

데이터 보호 정책 활성화

정책을 생성할 때 보호할 데이터를 지정할 수 있습니다. 재무, 건강 및 개인 정보를 아우르는 일반적인 민감한 데이터 패턴의 저장소인 100개 이상의 관리형 데이터 식별자 중에서 선택하세요. 이 기능을 사용하면 사용 사례나 지리적 리전에 맞는 다양한 데이터 식별자 중에서 유연하게 선택할 수 있습니다.

데이터 보호 정책 구성

또한 감사 보고서를 활성화하여 다른 로그 그룹, Amazon Simple Storage Service(S3) 버킷 또는 Amazon Kinesis Firehose 보낼 수 있습니다. 이 보고서에는 데이터 보호 결과에 대한 자세한 로그가 포함됩니다.

민감한 데이터가 감지될 때 모니터링하고 알림을 받으려면 LogEventsWithFindings라는 지표를 기반으로 경보를 생성할 수 있습니다. 이 지표는 특정 로그 그룹에 있는 결과 수를 보여 줍니다. 이를 통해 어떤 애플리케이션이 민감한 데이터를 로깅하는지 빠르게 파악할 수 있습니다.

민감한 정보가 로깅되면 CloudWatch Logs 데이터 보호는 구성된 정책에 따라 해당 정보를 자동으로 마스킹합니다. 이는 이러한 로그를 사용하는 다운스트림 서비스가 마스킹되지 않은 데이터를 볼 수 없도록 설계되었습니다. AWS Management Console, AWS CLI 또는 기타 타사에서 로그의 민감한 정보가 마스킹된 상태로 표시됩니다.

마스킹된 데이터가 있는 로그 파일의 예

(사용자 정책에 logs:Unmask 작업을 추가함으로써) IAM 정책에서 승격된 권한을 가진 사용자만 CloudWatch Logs Insights, 로그 스트림 검색 또는 FilterLogEvents GetLogEvents API를 통해 마스킹되지 않은 데이터를 볼 수 있습니다.

CloudWatch Logs Insights에서 다음 쿼리를 사용하여 특정 로그 그룹의 데이터를 마스킹 해제할 수 있습니다.

fields @timestamp, @message, unmask(@message)
| sort @timestamp desc
| limit 20

지금 이용 가능
데이터 보호는 미국 동부(오하이오), 미국 동부(버지니아 북부), 미국 서부(캘리포니아 북부), 미국 서부(오레곤), 아프리카(케이프타운), 아시아 태평양(홍콩), 아시아 태평양(자카르타), 아시아 태평양(뭄바이), 아시아 태평양(오사카), 아시아 태평양(서울), 아시아 태평양(싱가포르), 아시아 태평양(시드니), 아시아 태평양(도쿄), 캐나다(중부), 유럽(프랑크푸르트), 유럽(아일랜드), 유럽(런던), 유럽(밀라노), 유럽(파리), 유럽(스톡홀름), 중동(바레인) 및 남아메리카(상파울루) AWS 리전에서 제공됩니다.

Amazon CloudWatch Logs 데이터 보호 요금은 마스킹을 위해 스캔한 데이터의 양을 기준으로 책정됩니다. CloudWatch Logs 요금 페이지에서 사용자 리전의 해당 기능 요금에 대해 자세히 알아볼 수 있습니다.

CloudWatch Logs 사용 설명서에서 데이터 보호에 대해 자세히 알아보세요.

— Marcia