AWS CloudTrail은 감사, 보안 모니터링 및 운영 문제 해결을 지원합니다. CloudTrail은 AWS 서비스 전반의 사용자 활동 및 API 호출을 이벤트로 기록합니다. CloudTrail 이벤트는 “누가, 어디서, 언제 무엇을 했는가?”라는 질문에 답하는 데 도움이 됩니다.

CloudTrail은 다음 2가지 유형의 CloudTrail 이벤트를 기록합니다.

  • Amazon Simple Storage Service(S3) 버킷 생성 또는 삭제와 같은 리소스에 대한 컨트롤 플레인 작업을 캡처하는 관리 이벤트
  • Amazon S3 객체 읽기 또는 쓰기와 같은 리소스 내의 데이터 영역 작업을 캡처하는 데이터 이벤트
 
또한 CloudTrail은 다음과 같은 다른 AWS 서비스와의 기본 통합을 통해 데이터를 수집할 수 있습니다.
 
  • AWS Config 규칙에 따라 평가된 리소스 구성 기록 및 리소스 규정 준수 기록을 캡처하는 AWS Config의 구성 항목
  • Audit Manager 제어에서 지정한 요구 사항을 준수함을 입증하는 데 필요한 정보가 포함되어 있는 AWS Audit Manager의 감사 증거
 
CloudTrail은 이러한 이벤트 소스를 이벤트 기록, CloudTrail Lake 및 추적이라는 3가지 기능으로 사용합니다. 다음과 같은 기능을 함께 사용하거나 독립적으로 사용할 수 있습니다.

  • 이벤트 기록은 AWS 리전에서 발생한 지난 90일간의 관리 이벤트에 대한 조회, 검색, 다운로드 가능하며 변경 불가능한 기록을 제공합니다. 이벤트 기록을 보는 데에는 CloudTrail 요금이 부과되지 않습니다.
  • CloudTrail Lake는 감사 및 보안 목적으로 AWS에서 사용자 및 API 활동을 캡처, 저장, 액세스 및 분석하기 위한 관리형 데이터 레이크입니다. AWS 및 비 AWS 소스 모두에서 활동 로그를 집계, 시각화, 쿼리하고 변경 불가능한 형식으로 저장할 수 있습니다. 또한 S3 버킷에서 기존 CloudTrail 로그를 기존 또는 새 CloudTrail Lake 이벤트 데이터 스토어로 가져올 수 있습니다. 또한 CloudTrail 관리 이벤트를 캡처하는 이벤트 데이터 스토어에서 CloudTrail Insights를 활성화하여 리소스 프로비저닝의 급증 또는 주기적 활동의 차이와 같은 비정상적인 활동을 탐지할 수 있습니다. CloudTrail Lake를 사용하면 CloudTrail 콘솔에 사전 구축된 대시보드를 통해 CloudTrail 이벤트의 주요 트렌드를 시각화할 수도 있습니다. IT 감사자는 감사 요구 사항을 충족하기 위해 CloudTrail Lake를 모든 활동에 대한 변경 불가능한 레코드로 사용할 수 있습니다. 보안 관리자는 사용자 활동이 내부 정책을 준수하는지 확인할 수 있습니다. DevOps 엔지니어는 Amazon Elastic Compute Cloud(EC2) 인스턴스가 응답하지 않거나 리소스에 대한 액세스가 거부되는 등의 운영 문제를 해결할 수 있습니다. CloudTrail Lake는 보안 팀이 데이터 유출 혹은 AWS 환경에 대한 무단 액세스와 같은 보안 인시던트와 관련된 리소스에 누가 어떤 구성 변경을 했는지 답변하는 방식으로 소급 조사를 수행할 수 있도록 지원합니다. CloudTrail Lake는 규정 준수 엔지니어가 규정을 준수하지 않는 AWS Config 규칙을 누가, 어떤 리소스 변경을 유발했는지와 연관시켜 운영 환경의 규정 미준수 변경 사항을 조사할 수 있도록 지원합니다. IT 팀은 CloudTrail Lake의 7년 보존 기간 및 SQL 쿼리 엔진을 사용하여 구성 항목에 대한 과거 자산 인벤토리 분석을 수행할 수 있습니다.
  • 추적은 AWS 계정 활동 레코드를 캡처하여 S3에 이러한 이벤트를 전달 및 저장하고, 선택적으로 Amazon CloudWatch Logs 및 Amazon EventBridge로 전달합니다. 이러한 이벤트는 보안 모니터링 솔루션에 반영할 수 있습니다. 자체 서드 파티 솔루션 또는 Amazon Athena와 같은 솔루션을 사용하여 CloudTrail에서 캡처한 로그를 검색하고 분석할 수 있습니다. AWS Organizations를 사용하여 단일 AWS 계정 또는 여러 AWS 계정에 대한 추적을 생성할 수 있습니다. AWS CloudTrail Insights는 컨트롤 플레인 이벤트를 분석하여 API 호출 볼륨의 이상 동작이 있는지 확인하고 리소스 프로비저닝의 급증이나 주기적 활동의 공백과 같은 비정상적인 활동을 감지할 수 있습니다.

상시 가동

CloudTrail 이벤트 기록은 모든 AWS 계정에서 활성화되며 수동으로 설정하지 않아도 AWS 서비스 전반의 관리 이벤트를 기록합니다. AWS 프리 티어를 사용하면 CloudTrail 콘솔을 사용하거나 CloudTrail lookup-events API를 사용하여 계정 관리 이벤트의 가장 최근 90일 기록을 무료로 보고, 검색하고, 다운로드할 수 있습니다. 자세한 내용은 CloudTrail 이벤트 기록에서 이벤트 보기를 참조하세요.

보관 및 모니터링

추적을 생성하여 진행 중인 관리 및 데이터 이벤트를 S3에 전송하고 선택적으로 CloudWatch Logs에 전송할 수 있습니다. 이렇게 하면 전체 이벤트 세부 정보를 얻을 수 있으며 원하는 대로 이벤트를 내보내고 저장할 수 있습니다. 자세히 알아보려면 AWS 계정 추적 생성을 참조하세요. CloudTrail Lake는 관리형 감사 및 보안 레이크이므로 이벤트(AWS Config의 관리 이벤트, 데이터 이벤트 및 구성 항목 등)가 레이크 내에 자동으로 저장됩니다. 참고: CloudTrail Lake에서 구성 항목을 수집하려면 먼저 AWS Config 기록을 활성화해야 합니다.

변경 불가능하고 암호화된 활동 로그

S3 버킷에 저장된 CloudTrail 로그 파일의 무결성을 검증하고, CloudTrail에서 로그 파일을 S3 버킷으로 전송한 이후로 로그 파일이 그대로 유지되거나, 수정되거나, 삭제되었는지 탐지할 수 있습니다. IT 보안 및 감사 프로세스에서 로그 파일 무결성 검증 기능을 사용할 수 있습니다. CloudTrail Lake는 모든 로그를 자동으로 암호화합니다.

기본적으로 CloudTrail은 지정된 S3 버킷으로 전송된 모든 로그 파일을 S3 서버 측 암호화(SSE)를 사용하여 암호화합니다. 필요한 경우 AWS Key Management Service(KMS) 키를 사용해 로그 파일을 암호화함으로써 CloudTrail 로그 파일에 대한 보안 계층을 추가할 수도 있습니다. 사용자에게 복호화 권한이 있는 경우 S3에서 로그 파일을 자동으로 복호화합니다. 자세한 내용은 AWS KMS 관리형 키(SSE-KMS)를 사용한 CloudTrail 로그 파일 암호화를 참조하세요. CloudTrail Lake는 읽기 전용 액세스 권한을 부여하여 로그 파일의 변경을 방지합니다. 읽기 전용 액세스는 이벤트를 자동으로 변경할 수 없음을 의미합니다.

인사이트 및 분석

CloudTrail Lake를 사용하면 레이크 내에서 감사를 위해 활동 로그에 대해 SQL 기반 쿼리를 실행하거나 CloudTrail 이벤트에 대해 SQL 쿼리를 실행하여 CloudTrail Lake 대시보드의 데이터를 더 자세히 분석할 수 있습니다. 또한 추적 또는 이벤트 데이터 스토어에서 CloudTrail Insights를 활성화하여 AWS 계정의 비정상적인 활동을 식별할 수 있습니다. 또한 Amazon Athena를 사용하면 데이터를 이동하거나 복제하는 복잡한 운영 과정 없이 다른 소스의 데이터와 함께 CloudTrail Lake 감사 가능 로그를 대화형 방식으로 쿼리할 수 있습니다. 예를 들어 보안 엔지니어는 보안 사고 조사를 위해 Athena를 사용하여 CloudTrail Lake의 활동 로그를 Amazon S3의 애플리케이션 및 트래픽 로그와 상호 연관시킬 수 있습니다. 이제 규정 준수 및 운영 엔지니어는 규정 준수, 비용 및 사용 보고서를 위해 Amazon QuickSight 및 Amazon Managed Grafana를 사용하여 CloudTrail Lake의 활동 로그를 시각화할 수 있습니다.

멀티클라우드 및 멀티소스

AWS CloudTrail Lake를 사용하면 여러 로그 집계 및 보고 도구를 유지 관리할 필요 없이 다른 클라우드 제공업체, 사내 애플리케이션, 클라우드 또는 온프레미스에서 실행되는 SaaS 애플리케이션의 데이터를 비롯한 AWS 및 AWS 외부 소스의 활동 이벤트를 통합할 수 있습니다. CloudTrail Lake API를 사용하여 데이터 통합을 설정하고 이벤트를 CloudTrail Lake에 푸시할 수 있습니다. 서드 파티 도구와 통합하려면 CloudTrail 콘솔의 파트너 통합을 통해 몇 단계만 거치면 이러한 애플리케이션으로부터 활동 이벤트 수신을 시작할 수 있습니다.

다중 리전

단일 위치에 여러 AWS 리전의 이벤트를 캡처하고 저장하도록 CloudTrail을 구성할 수 있습니다. 이 구성은 모든 설정이 기존 리전과 새로 시작된 리전에 일관되게 적용됨을 인증합니다. 자세히 알아보려면 여러 리전에서 CloudTrail 로그 파일 수신을 참조하세요. 또한 CloudTrail Lake를 사용하면 여러 리전의 이벤트를 캡처하고 저장할 수 있습니다.

다중 계정

단일 위치에 여러 AWS 계정의 이벤트를 캡처하고 저장하도록 CloudTrail을 구성할 수 있습니다. 이 구성은 모든 설정이 모든 기존 계정과 새로 생성된 계정에 일관되게 적용되는지 확인합니다. 자세히 알아보려면 Creating a trail for an organization(조직 추적 생성)을 참조하세요. CloudTrail Lake를 사용하여 AWS Organizations 전체의 계정에 대한 이벤트를 캡처하고 저장할 수도 있습니다. 또한 최대 3개의 위임된 관리자 계정을 지정하여 조직 수준에서 조직 트레일 또는 CloudTrail Lake 이벤트 데이터 스토어를 생성, 업데이트, 쿼리 또는 삭제할 수 있습니다.

시작하기 페이지로 이동하기

AWS CloudTrail 요금에 대해 자세히 알아보세요.

자세히 알아보기 »
콘솔에서 구축 시작

AWS Management Console에서 AWS CloudTrail을 사용하여 구축을 시작하세요.

로그인 »
전문가에게 문의

AWS CloudTrail 지원 옵션을 살펴보세요.

문의하기 »