서비스 개요

Q: Amazon GuardDuty란 무엇인가요?

GuardDuty는 보안 소프트웨어 또는 에이전트를 사용하지 않고 AWS 계정, Amazon Elastic Compute Cloud(EC2) 인스턴스, Amazon Elastic Kubernetes Service(EKS) 클러스터 및 Amazon Simple Storage Service(S3)에 저장된 데이터에서 악의적 활동을 지속적으로 모니터링하는 지능형 위협 탐지 서비스입니다. 비정상 동작, 보안 인증 정보 유출 또는 명령 및 제어(C2) 인프라 통신과 같은 잠재적인 악의적 활동이 탐지되면 보안 가시성 및 수정 지원에 사용할 수 있는 상세한 보안 결과가 GuardDuty에서 생성됩니다. 또한 Amazon GuardDuty Malware Protection 기능을 사용하면 EC2 인스턴스 및 컨테이너 워크로드에 연결된 Amazon Elastic Block Store(EBS) 볼륨에서 악성 파일을 탐지하는 데 도움이 됩니다.

Q: GuardDuty의 주요 이점은 무엇인가요?

GuardDuty를 사용하면 AWS 계정, 워크로드, Amazon S3에 저장된 데이터를 지속적으로 모니터링할 수 있습니다. GuardDuty는 리소스와 완전히 독립적으로 운영되므로 워크로드의 성능이나 가용성에 영향을 주지 않습니다. 이 서비스는 통합 위협 인텔리전스, 기계 학습(ML) 이상 탐지 및 맬웨어 스캔이 포함된 완전관리형 서비스입니다. GuardDuty는 기존 이벤트 관리 및 워크플로 시스템과 손쉽게 통합되도록 설계된 상세하고 실행 가능한 알림을 제공합니다. 선결제 비용이 없고 추가로 소프트웨어를 배포하거나 위협 인텔리전스 피드를 구독할 필요가 없으며 분석한 이벤트에 대해서만 비용을 지불하면 됩니다.

Q: GuardDuty의 비용은 얼마인가요?

GuardDuty 요금은 분석된 서비스 로그의 볼륨과 맬웨어에 대해 스캔된 데이터의 볼륨을 기준으로 합니다. 분석된 서비스 로그는 비용 최적화를 위해 필터링되고 GuardDuty와 직접 통합되므로 따로 사용하도록 설정하거나 요금을 지불하지 않아도 됩니다.

추가 세부 정보와 요금 예제는 Amazon GuardDuty 요금 페이지를 참조하세요.

Q: GuardDuty 지급인 계정에 나오는 예상 비용은 연결된 계정에 대해 집계된 총 비용을 나타내나요, 아니면 개별 지급인 계정에만 대한 것인가요?

예상 비용은 개별 지급인 계정에 대한 비용을 나타내며 GuardDuty 관리자 계정에서 각 멤버 계정에 대해 청구된 사용량과 평균 일 비용을 확인할 수 있습니다. 자세한 사용량 정보를 보려면 개별 계정으로 이동해야 합니다.

 

Q: GuardDuty의 무료 평가판이 있나요?

예. GuardDuty를 처음 사용하는 계정은 30일 동안 무료로 서비스를 사용해 볼 수 있습니다. 무료 평가판에서는 모든 기능 세트와 탐지 서비스에 액세스할 수 있습니다. 평가 기간 동안 GuardDuty 콘솔 사용량 페이지에서 평가 기간 후 예상 비용을 확인할 수 있습니다. GuardDuty 관리자인 경우 멤버 계정의 예상 비용이 표시됩니다. 30일이 지나면 AWS 빌링 콘솔에서 이 기능의 실제 비용을 확인할 수 있습니다.

Q: GuardDuty와 Amazon Macie의 차이점은 무엇인가요?

GuardDuty는 AWS 계정, 워크로드 및 데이터의 광범위한 보안 모니터링을 제공하여 공격자 정찰, 인스턴스, 계정 및 버킷 또는 Amazon EKS 클러스터 침해 및 맬웨어와 같은 위협을 식별하는 데 도움을 줍니다. Macie는 ML 및 패턴 일치를 사용하여 S3의 민감한 데이터를 검색하는 완전관리형 민감한 데이터 검색 서비스입니다.

Q: GuardDuty는 리전별 서비스인가요? 아니면 글로벌 서비스인가요?

GuardDuty는 리전별 서비스입니다. 여러 계정이 사용되고 여러 리전이 사용되더라도 GuardDuty 보안 탐지 결과는 해당 데이터가 생성된 리전과 동일한 리전에 유지됩니다. 따라서 분석된 모든 데이터가 리전을 기반으로 하고 AWS 리전 경계를 벗어나지 않습니다. 그러나 리전 전체에서 GuardDuty를 통해 생성된 보안 결과를 집계하도록 선택할 수 있습니다. Amazon CloudWatch Events를 사용하거나 S3와 같은 데이터 스토어로 결과를 푸시한 다음 적절한 결과를 집계할 수 있습니다. GuardDuty 결과를 AWS Security Hub로 보내고 교차 리전 집계 기능을 사용할 수도 있습니다.

Q: GuardDuty는 어느 리전을 지원하나요?

GuardDuty 리전 가용성은 AWS 리전 서비스 목록에 나열되어 있습니다.

Q: GuardDuty의 협력 파트너는 누구인가요?

많은 기술 파트너가 GuardDuty에 통합되어 있고 GuardDuty를 기반으로 구축되어 있습니다. 또한 GuardDuty를 전문적으로 다루는 컨설팅, 시스템 통합 사업자 및 관리형 보안 서비스 제공업체도 있습니다. 자세한 내용은 Amazon GuardDuty 파트너 페이지를 참조하세요.

Q: GuardDuty는 지불 카드 업계 데이터 보안 표준(PCI DSS)의 요구 사항을 해결하는 데 도움이 되나요?

Foregenix에서 발표한 백서에서는 규정 준수 요구 사항의 준수를 지원하는 데 GuardDuty가 얼마나 효과적인지 자세한 평가를 제공합니다. 예를 들어 네트워크의 중요한 지점에서 침입 탐지 기술을 적용하도록 요구하는 PCI DSS 요구 사항 11.4가 포함됩니다.

GuardDuty 사용

Q: GuardDuty를 사용하려면 어떻게 해야 하나요?

AWS Management Console에서 클릭 몇 번으로 GuardDuty를 설정하고 배포할 수 있습니다. 사용하도록 설정하면 GuardDuty가 즉시 거의 실시간 및 대규모로 계정과 네트워크 활동의 연속 스트림을 분석하기 시작합니다. 배포하거나 관리할 추가 보안 소프트웨어, 센서 또는 네트워크 어플라이언스는 없습니다. 위협 인텔리전스가 서비스에 사전 통합되어 있고 지속적으로 업데이트 및 유지 관리됩니다.

Q: GuardDuty로 여러 계정을 관리할 수 있나요?

예. GuardDuty에는 다중 계정 관리 기능이 있어 단일 관리자 계정에서 여러 AWS 계정을 연결하고 관리할 수 있습니다. 이 기능을 사용하면 모든 보안 탐지 결과가 검토 및 개선을 위해 관리자 계정으로 집계됩니다. 이 구성을 사용하면 CloudWatch Events도 GuardDuty 관리자 계정으로 집계됩니다. 또한 GuardDuty를 AWS Organizations과 통합하면 조직의 GuardDuty에 대한 관리자 계정을 위임할 수 있습니다. 이 위임된 관리자(DA) 계정은 모든 결과를 통합하고 모든 구성원 계정을 구성할 수 있는 중앙 집중식 계정입니다.

Q: GuardDuty는 어떤 데이터 소스를 분석하나요?

GuardDuty는 CloudTrail 관리 이벤트 로그, CloudTrail S3 데이터 이벤트 로그, VPC 흐름 로그, DNS 쿼리 로그 및 Amazon EKS 감사 로그를 분석합니다. GuardDuty Malware Protection을 사용하도록 설정한 경우 EC2 인스턴스 또는 컨테이너 워크로드에서 악성 소프트웨어를 나타내는 의심스러운 동작이 식별되면 GuardDuty를 사용하여 EBS 볼륨 데이터에서 잠재적 맬웨어를 스캔할 수도 있습니다. 이 서비스는 거의 실시간 보안 탐지 처리를 위해 대규모 데이터 볼륨을 소비하도록 최적화되었습니다. GuardDuty에서는 클라우드용으로 개발 및 최적화되었고 GuardDuty 엔지니어링 팀에서 유지 관리하고 지속적으로 개선하는 내장된 탐지 기법에 액세스할 수 있습니다.

Q: GuardDuty는 작업을 시작하는 데 얼마나 걸리나요?

사용하도록 설정하면 Amazon GuardDuty가 악의적 또는 무단 활동에 대한 분석을 시작합니다. 결과를 수신하기 시작할 때까지 걸리는 시간은 계정의 활동 수준에 따라 달라집니다. GuardDuty는 기록 데이터는 확인하지 않으며 서비스가 사용된 이후에 시작된 활동만 확인합니다. GuardDuty가 잠재적 위협을 파악하면 GuardDuty 콘솔에서 결과를 볼 수 있습니다.

Q: GuardDuty가 작동하려면 CloudTrail, VPC 흐름 로그, DNS 쿼리 로그 또는 Amazon EKS 감사 로그를 사용해야 하나요?

아니요. GuardDuty는 CloudTrail, VPC 흐름 로그, DNS 쿼리 로그 및 Amazon EKS에서 직접 독립된 데이터 스트림을 가져옵니다. S3 버킷 정책을 관리하거나 로그를 수집 및 저장하는 방법을 수정할 필요가 없습니다. GuardDuty 권한은 서비스 연결 역할로 관리됩니다. 언제든지 GuardDuty를 사용 중지할 수 있으며 사용 중지하면 모든 GuardDuty 권한이 제거됩니다. 복잡한 구성이 필요하지 않으므로 서비스를 더 쉽게 사용할 수 있습니다. 또한 서비스 연결 역할을 사용하면 AWS Identity and Access Management(IAM) 권한 구성 오류나 S3 버킷 정책 변경으로 서비스 운영이 영향을 받는 일이 발생하지 않습니다. 마지막으로 서비스 연결 역할은 GuardDuty에서 계정 또는 워크로드의 성능 및 가용성에 영향을 미치지 않거나 그 영향을 최소화하면서 거의 실시간으로 다량의 데이터를 효율적으로 사용할 수 있도록 합니다.

Q: 내 계정에서 GuardDuty를 사용하면 성능이나 가용성에 영향을 미치게 되나요?

GuardDuty는 AWS 리소스와 완전히 독립되어 작동하므로 계정 또는 워크로드의 성능이나 가용성에 전혀 영향을 미치지 않습니다.

Q: GuardDuty는 내 로그를 관리하거나 유지하나요?

아니요. GuardDuty는 로그를 관리하거나 유지하지 않습니다. GuardDuty에서 소비하는 모든 데이터는 거의 실시간으로 분석되고 분석 후 폐기됩니다. 따라서 GuardDuty가 매우 효율적이고 비용 효과적이 될 수 있고 데이터 잔류의 위험도 줄일 수 있습니다. 로그 전달 및 보존의 경우 모든 기능을 갖춘 전달 및 보존 옵션을 제공하는 AWS 로깅 및 모니터링 서비스를 직접 사용해야 합니다.

Q: GuardDuty가 내 로그 및 데이터 소스를 확인할 수 없도록 하려면 어떻게 해야 하나요?

언제든지 일반 설정에서 서비스 일시 중단을 선택하여 GuardDuty가 데이터 소스를 분석하지 못하도록 할 수 있습니다. 그러면 서비스가 데이터 분석을 즉시 중단하지만, 기존 탐지 결과 또는 구성은 삭제하지 않습니다. 또한, 일반 설정에서 서비스 사용 중지를 선택할 수 있습니다. 그러면 서비스 권한을 반납하고 서비스를 재설정하기 전에 기존 탐지 결과와 구성을 비롯하여 모든 남아 있는 데이터가 삭제됩니다. Management Console 또는 AWS CLI를 통해 GuardDuty S3 Protection이나 GuardDuty EKS Protection 같은 기능을 따로 사용 중지할 수도 있습니다.

GuardDuty 탐지 결과

Q: GuardDuty는 무엇을 탐지할 수 있나요?

GuardDuty에서는 클라우드용으로 개발 및 최적화된 내장된 탐지 기법에 액세스할 수 있습니다. 탐지 알고리즘은 AWS GuardDuty 엔지니어가 유지 관리하고 지속적으로 개선합니다. 기본 탐지 카테고리는 다음과 같습니다.

  • 정찰: 비정상적인 API 활동, VPC 내 포트 스캐닝, 실패한 로그인 요청의 특이한 패턴, 알려진 악성 IP에서 차단되지 않은 포트 탐색 등 공격자의 정찰로 보이는 활동입니다.
  • 인스턴스 침해: 암호 화폐 마이닝, Domain Generation Algorithm(DGA)를 사용하는 맬웨어, 아웃바운드 DoS 활동, 비정상적으로 높은 네트워크 트래픽 볼륨, 비정상적인 네트워크 프로토콜, 알려진 악의적 IP를 통한 아웃바운드 인스턴스 통신, 외부 IP 주소에서 임시 EC2 보안 인증 정보 사용, DNS를 사용한 데이터 탈출 등 인스턴스 침해를 나타내는 활동입니다.
  • 계정 침해: 계정 침해를 나타내는 일반적인 패턴에는 특이한 지리적 위치 또는 익명 프록시로부터 API 호출, CloudTrail 로깅을 비활성화하려는 시도, 비정상적인 인스턴스 또는 인프라 시작, 특이한 리전에 인프라 배포, 보안 인증 정보 유출 및 알려진 악의적 IP 주소로부터 API 호출이 포함됩니다.
  • 버킷 침해: 버킷 침해를 나타내는 활동입니다. 예를 들어 보안 인증 정보 악용을 나타내는 의심스러운 데이터 액세스 패턴, 원격 호스트의 비정상적인 S3 API 활동, 알려진 IP 주소로부터의 무단 S3 액세스, 버킷에 액세스한 기록이 없거나 비정상적인 위치에서 호출된 사용자가 S3 버킷에서 데이터를 검색하기 위한 API 호출 등이 있습니다. GuardDuty는 CloudTrail S3 데이터 이벤트(예: GetObject, ListObjects, DeleteObject)를 지속적으로 모니터링 및 분석하여 모든 S3 버킷에서 의심스러운 활동을 탐지합니다.
  • 맬웨어 탐지: GuardDuty는 EC2 인스턴스 또는 컨테이너 워크로드에서 맬웨어를 나타내는 의심스러운 동작이 식별될 때 맬웨어 탐지 스캔을 시작합니다. GuardDuty는 이러한 EC2 인스턴스 또는 컨테이너 워크로드에 연결된 EBS 볼륨의 임시 복제본을 생성하고 이 볼륨 복제본에서 워크로드를 침해하고 리소스를 악의적인 용도로 재사용하며 데이터에 무단으로 액세스하는 데 사용될 수 있는 트로이 목마, 웜, 암호 화폐 채굴기, 루트킷, 봇 등을 스캔합니다. GuardDuty Malware Protection은 의심스러운 동작의 소스를 검증할 수 있는 상황별 결과를 생성합니다. 이러한 결과를 적절한 관리자에게 라우팅하여 자동화된 수정 작업을 시작할 수 있습니다.
  • 컨테이너 침해: 컨테이너 워크로드에서 악의적의거나 의심스러운 동작을 식별하는 활동은 Amazon EKS 클러스터의 지속적인 모니터링 및 프로파일링과 Amazon EKS 감사 로그 분석을 통해 탐지됩니다.

Q: GuardDuty 위협 인텔리전스란 무엇인가요?

GuardDuty 위협 인텔리전스는 공격자가 사용하는 것으로 알려진 IP 주소와 도메인으로 구성되어 있습니다. GuardDuty 위협 인텔리전스는 AWS 및 서드 파티 제공업체(Proofpoint, CrowdStrike 등)가 제공합니다. 이러한 위협 인텔리전스 피드는 사전에 통합되어 있으며 지속적으로 GuardDuty에 업데이트되고 추가 비용은 부과되지 않습니다.

Q: 자체 위협 인텔리전스를 제공할 수 있나요?

예. GuardDuty에서 자체 위협 인텔리전스 또는 신뢰할 수 있는 IP 주소 목록을 업로드할 수 있습니다. 이 기능을 사용하면, 해당 목록은 사용자 계정에만 적용되고 다른 고객과 공유되지 않습니다.

Q: 보안 탐지 결과는 어떻게 전달되나요?

잠재적 위협이 탐지되면, GuardDuty에서 상세한 보안 탐지 결과를 GuardDuty 콘솔과 CloudWatch Events로 전달합니다. 그러면 알림을 토대로 조치를 취할 수 있고 기존 이벤트 관리 또는 워크로드 시스템에 손쉽게 통합할 수 있습니다. 이러한 탐지 결과에는 카테고리, 영향을 받은 리소스, 리소스와 연결된 메타데이터, 심각도 수준이 포함됩니다.

Q: GuardDuty 탐지 결과는 형식이 어떻게 되나요?

GuardDuty 탐지 결과는 Macie와 Amazon Inspector에서 사용하는 것과 같은 일반적인 JavaScript Object Notation(JSON) 형식으로 제공됩니다. 따라서 고객과 파트너는 손쉽게 세 가지 서비스 모두의 보안 탐지 결과를 소비하고 이를 좀 더 광범위한 이벤트 관리, 워크플로 또는 보안 솔루션에 통합할 수 있습니다.

Q: 보안 탐지 결과는 GuardDuty에서 얼마 동안 사용할 수 있나요?

보안 탐지 결과는 GuardDuty 콘솔 및 API에서 90일 동안 사용할 수 있도록 보존됩니다. 90일 이후에는 탐지 결과가 폐기됩니다. 90일 넘게 탐지 결과를 보존하려면 탐지 결과를 계정 내 S3 버킷 또는 장기 보존용 다른 데이터 스토어로 자동으로 푸시하도록 CloudWatch Events를 설정하면 됩니다.

Q: GuardDuty 결과를 집계할 수 있나요?

예. 리전 전체에서 GuardDuty를 통해 생성된 보안 결과를 집계하도록 선택할 수 있습니다. CloudWatch Events를 사용하거나 S3와 같은 데이터 스토어로 결과를 푸시한 다음 적절한 결과를 집계할 수 있습니다. GuardDuty 결과를 Security Hub로 보내고 교차 리전 집계 기능을 사용할 수도 있습니다.

Q: GuardDuty를 사용해 자동 예방 조치를 수행할 수 있나요?

GuardDuty, CloudWatch Events 및 AWS Lambda를 사용하면 보안 탐지 결과에 따라 자동 수정 조치를 설정할 수 있습니다. 예를 들어 보안 탐지 결과에 따라 AWS 보안 그룹 규칙을 수정하도록 Lambda 함수를 생성할 수 있습니다. 알려진 악의적 IP가 EC2 인스턴스 중 하나를 탐색하고 있다는 GuardDuty 탐지 결과가 나오면, CloudWatch Events 규칙을 통해 Lambda 함수를 시작하여 자동으로 보안 그룹 규칙을 수정하고 해당 포트에 대한 액세스를 제한할 수 있습니다.

Q: GuardDuty 탐지 기능은 어떻게 개발 및 관리되나요?

GuardDuty에는 탐지 기능의 엔지니어링, 관리 및 반복을 담당하는 팀이 있습니다. 따라서 서비스의 새로운 탐지 기능을 꾸준히 공급하고 기존 탐지 기능에 대한 지속적 반복을 생성할 수 있습니다. GuardDuty 사용자 인터페이스(UI)에 있는 보안 탐지 결과별 좋아요 및 싫어요와 같은 몇 가지 피드백 메커니즘이 서비스에 탑재되어 있습니다. 이를 통해 피드백을 제공할 수 있고 그 결과는 향후 GuardDuty 탐지 기능 반복에 반영될 수 있습니다.

Q: Amazon GuardDuty에 사용자 지정 탐지 기능을 작성할 수 있나요?

아니요. GuardDuty는 자체 사용자 지정 규칙 세트를 개발하고 유지 관리하는 복잡성과 부담을 없애줍니다. 고객 피드백과 AWS 보안 엔지니어 및 GuardDuty 엔지니어링 팀의 연구 결과에 따라 새로운 탐지 기능이 지속적으로 추가됩니다. 그러나 고객이 구성할 수 있는 사용자 지정 기능에는 자체 위협 목록 및 신뢰할 수 있는 IP 주소 목록이 있습니다.

GuardDuty S3 Protection

Q: 현재 GuardDuty를 사용하고 있는 경우 S3 Protection을 시작하려면 어떻게 해야 하나요?

현재 GuardDuty 계정의 경우 콘솔 또는 API를 사용하여 GuardDuty for S3 Protection을 사용하도록 설정할 수 있습니다. GuardDuty 콘솔에서 S3 보호 콘솔 페이지로 이동하여 계정에 이 기능을 사용하도록 설정할 수 있습니다. 그러면 GuardDuty S3 Protection 기능의 30일 무료 평가판이 시작됩니다.

Q: GuardDuty S3 Protection의 무료 평가판이 있나요?

예. 30일 무료 평가판이 있습니다. 각 리전에서 계정별로 S3 Protection 기능이 포함된 GuardDuty의 30일 무료 평가판을 사용할 수 있습니다. GuardDuty를 이미 사용하는 계정도 S3 Protection 기능의 30일 무료 평가판을 처음 활성화하는 경우 평가판을 사용할 수 있습니다.

Q: GuardDuty를 처음 사용하는 사용자인데, 계정에 기본적으로 S3 Protection이 사용되나요?

예. 콘솔 또는 API를 통해 GuardDuty를 사용하도록 설정한 신규 계정에는 S3 Protection이 기본적으로 사용됩니다. AWS Organizations의 자동 사용 기능을 사용하여 생성된 신규 GuardDuty 계정은 S3 자동 사용(Auto-enable for S3) 옵션을 활성화해야 S3 Protection이 활성화됩니다.

Q: 전체 GuardDuty 서비스(예: VPC 흐름 로그, DNS 쿼리 로그 및 CloudTrail 관리 이벤트 분석)를 사용하지 않고 GuardDuty S3 Protection을 사용할 수 있나요?

아니요. S3 Protection을 사용하려면 GuardDuty 서비스를 사용해야 합니다. 현재 GuardDuty 계정에는 S3 Protection을 사용하도록 설정할 수 있는 옵션이 있고 신규 GuardDuty 계정의 경우 GuardDuty 서비스를 사용하도록 설정하면 기본적으로 이 기능이 포함됩니다.

Q: GuardDuty는 S3 배포를 보호하기 위해 계정의 모든 버킷을 모니터링하나요?

예. S3 Protection은 환경의 모든 S3 버킷을 기본적으로 모니터링합니다.

Q: S3 Protection에 대해 CloudTrail S3 데이터 이벤트 로깅을 활성화해야 하나요?

아니요. GuardDuty는 CloudTrail S3 데이터 이벤트 로그에 직접 액세스할 수 있습니다. CloudTrail에서 S3 데이터 이벤트 로깅을 사용하도록 설정할 필요가 없으며 따라서 관련 비용도 발생하지 않습니다. GuardDuty는 로그를 저장하지 않고 분석 용도로만 사용합니다.

GuardDuty EKS Protection

Q: GuardDuty EKS Protection은 어떤 방식으로 작동하나요?

GuardDuty EKS Protection은 Amazon EKS 감사 로그를 분석하여 Amazon EKS 클러스터 컨트롤 플레인 활동을 모니터링하는 GuardDuty 기능입니다. GuardDuty는 Amazon EKS와 통합하여, Amazon EKS 감사 로그에 직접 액세스하므로 이러한 로그를 활성화하거나 저장할 필요가 없습니다. 이러한 감사 로그는 Amazon EKS 컨트롤 플레인에서 수행한 일련의 작업을 시간순으로 기록한 보안 관련 기록입니다. 이러한 Amazon EKS 감사 로그를 통해 GuardDuty는 Amazon EKS API 활동을 지속적으로 모니터링하고 검증된 위협 인텔리전스 및 이상 탐지 기능을 적용하여 Amazon EKS 클러스터를 무단 액세스에 노출시킬 수 있는 악성 활동 또는 구성 변경을 식별합니다. 위협이 식별되면 GuardDuty는 위협 유형, 심각도 수준 및 포드 ID, 컨테이너 이미지 ID 및 관련 태그와 같은 컨테이너 수준 세부 정보가 포함된 보안 결과를 생성합니다.

Q: GuardDuty EKS Protection은 Amazon EKS 워크로드에서 어떤 유형의 위협을 탐지할 수 있나요?

GuardDuty EKS Protection은 Amazon EKS 감사 로그에 캡처된 사용자와 애플리케이션 활동과 관련된 위협을 탐지할 수 있습니다. Amazon EKS 위협 탐지는 알려진 악성 행위자나 Tor 노드에 의해 액세스된 Amazon EKS 클러스터, 잘못된 구성을 나타낼 수 있는 익명 사용자가 수행한 API 작업, Amazon EKS 클러스터로의 승인되지 않은 액세스를 초래할 수 있는 잘못된 구성을 포함합니다. 또한 GuardDuty는 ML 모델을 사용하여 기본 EC2 호스트로의 루트 수준 액세스 권한이 있는 컨테이너의 의심스러운 시작과 같은 권한 에스컬레이션 테크닉과 일치하는 패턴을 식별할 수 있습니다. 모든 신규 탐지의 전체 목록을 보려면 Amazon GuardDuty 결과 유형을 참조하세요.

Q: Amazon EKS 감사 로그를 활성화해야 하나요?

아니요. GuardDuty는 Amazon EKS 감사 로그에 직접 액세스할 수 있습니다. GuardDuty는 이러한 로그를 분석에만 사용하고, 로그는 저장되지 않으며, GuardDuty와 공유하기 위해 이러한 Amazon EKS 감사 로그를 활성화하거나 요금을 지불할 필요도 없습니다. 비용을 최적화하기 위해 GuardDuty는 지능형 필터를 적용하여 보안 위협 탐지와 관련한 감사 로그의 일부만 사용합니다.

Q: GuardDuty EKS Protection의 무료 평가판이 있나요?

예. 30일 무료 평가판이 있습니다. 각 리전에서 신규 GuardDuty 계정별로 GuardDuty EKS Protection 기능을 포함한 GuardDuty의 30일 무료 평가판이 제공됩니다. 기존 GuardDuty 계정은 추가 비용 없이 30일 동안 GuardDuty EKS Protection 평가판을 이용할 수 있습니다. 평가 기간 동안 GuardDuty 콘솔 사용량 페이지에서 평가 기간 후 예상 비용을 확인할 수 있습니다. GuardDuty 관리자인 경우 멤버 계정의 예상 비용이 표시됩니다. 30일이 지나면 AWS 빌링 콘솔에서 이 기능의 실제 비용을 확인할 수 있습니다.

Q: 현재 GuardDuty를 사용하고 있는 경우 GuardDuty EKS Protection을 시작하려면 어떻게 해야 하나요?

GuardDuty EKS Protection은 개별 계정마다 사용하도록 설정해야 합니다. GuardDuty 콘솔의 GuardDuty EKS Protection 콘솔 페이지에서 클릭 한 번으로 계정에 이 기능을 사용하도록 설정할 수 있습니다. GuardDuty 다중 계정 구성으로 운영하는 경우 GuardDuty 관리자 계정 GuardDuty EKS Protection 페이지에서 전체 조직의 GuardDuty EKS Protection을 사용하도록 설정할 수 있습니다. 그러면 모든 개별 멤버 계정에서 Amazon EKS에 대한 지속적인 모니터링이 활성화됩니다. AWS Organizations의 자동 사용 기능을 통해 생성된 GuardDuty 계정의 경우, Auto-enable for Amazon EKS(Amazon EKSAmazon EKS에 대해 자동 사용)을 명시적으로 설정해야 합니다. 계정에 대해 활성화되면, Amazon EKS 클러스터에서 구성하지 않아도 계정의 모든 기존 및 미래의 Amazon EKS 클러스터에서 위협이 모니터링됩니다.

Q: 신규 GuardDuty 사용자인 경우 계정에 GuardDuty EKS Protection이 기본적으로 사용되나요?

예. 콘솔 또는 API를 통해 GuardDuty를 사용하도록 설정한 신규 계정에서는 기본적으로 GuardDuty EKS Protection이 활성화됩니다. AWS Organizations의 자동 사용 기능으로 생성된 새로운 GuardDuty 계정은 Auto-enable for EKS(Amazon EKS에 대해 자동 사용) 옵션을 활성화해야 GuardDuty EKS Protection이 활성화됩니다.

Q: GuardDuty EKS Protection을 사용 중지하려면 어떻게 해야 하나요?

콘솔 또는 API를 사용하여 기능을 사용 중지할 수 있습니다. GuardDuty 콘솔의 GuardDuty EKS Protection 콘솔 페이지에서 계정의 GuardDuty EKS Protection을 사용 중지할 수 있습니다. GuardDuty 관리자 계정이 있는 경우 멤버 계정에 대해 이 기능을 사용 중지할 수도 있습니다.

Q: GuardDuty EKS Protection을 사용 중지한 경우 다시 사용하려면 어떻게 해야 하나요?

이전에 GuardDuty EKS Protection을 사용 중지한 경우 콘솔 또는 API를 사용하여 기능을 다시 사용하도록 설정할 수 있습니다. GuardDuty 콘솔의 GuardDuty EKS Protection 콘솔 페이지에서 계정에 GuardDuty EKS Protection을 사용하도록 설정할 수 있습니다.

Q: GuardDuty EKS Protection을 각 AWS 계정과 Amazon EKS 클러스터에서 개별적으로 사용하도록 설정해야 하나요?

GuardDuty EKS Protection은 개별 계정마다 사용하도록 설정해야 합니다. GuardDuty 다중 계정 구성으로 운영하는 경우 GuardDuty 관리자 계정 GuardDuty EKS Protection 콘솔 페이지에서 클릭 한 번으로 전체 조직의 Amazon EKS에 위협 탐지를 사용할 수 있습니다. 그러면 모든 개별 멤버 계정에서 Amazon EKS에 대한 위협 탐지가 활성화됩니다. 계정에 대해 활성화되면, 계정의 모든 기존 및 미래의 Amazon EKS 클러스터에서 위협이 모니터링되며 Amazon EKS 클러스터에서 수동으로 구성할 필요가 없습니다.

Q: Amazon EKS를 사용하지 않고 GuardDuty에서 GuardDuty EKS Protection을 사용하도록 설정하면 요금이 부과되나요?

Amazon EKS를 사용하지 않고 GuardDuty EKS Protection을 활성화했다면 GuardDuty EKS Protection 비용이 발생하지 않습니다. 그러나 Amazon EKS 사용을 시작하면 GuardDuty가 클러스터를 자동으로 모니터링하고 식별된 문제에 대한 결과를 생성하기 때문에 이 모니터링에 대한 요금이 부과됩니다.

Q: 전체 GuardDuty 서비스(예: VPC 흐름 로그, DNS 쿼리 로그 및 CloudTrail Management Events 분석)를 사용하지 않고 GuardDuty EKS Protection을 사용할 수 있나요?

아니요. GuardDuty EKS Protection을 사용하려면 GuardDuty 서비스가 사용되어야 합니다.

Q: GuardDuty EKS Protection은 AWS Fargate의 Amazon EKS 배포에 대한 Amazon EKS 감사 로그를 모니터링하나요?

예, GuardDuty EKS Protection은 EC2 인스턴스에 배포된 Amazon EKS 클러스터와 Fargate에 배포된 Amazon EKS 클러스터의 Amazon EKS 감사 로그를 모니터링합니다.

Q: GuardDuty는 EC2 또는 Amazon EKS Anywhere의 비관리형 Amazon EKS를 모니터링하나요?

현재 이 기능은 계정의 EC2 인스턴스 또는 Fargate에서 실행되는 Amazon EKS 배포만 지원합니다.

Q: GuardDuty EKS Protection을 사용하면 Amazon EKS의 컨테이너 실행 성능이나 비용에 영향을 미치나요?

아니요. GuardDuty EKS Protection은 Amazon EKS 워크로드 배포의 성능, 가용성 또는 비용에 영향을 미치지 않도록 설계되었습니다.

Q: 각 AWS 리전에서 GuardDuty EKS Protection을 개별적으로 활성화해야 하나요?

예. GuardDuty는 리전별 서비스이기 때문에 각 AWS 리전에서 GuardDuty EKS Protection을 개별적으로 사용하도록 설정해야 합니다.

GuardDuty Malware Protection

Q: Amazon GuardDuty Malware Protection은 어떤 식으로 작동하나요?

GuardDuty는 EC2 인스턴스 또는 컨테이너 워크로드에서 맬웨어를 나타내는 의심스러운 동작이 식별될 때 맬웨어 탐지 스캔을 시작합니다. EBS 볼륨의 스냅샷을 기반으로 GuardDuty가 생성하는 EBS 볼륨 복제본에서 트로이 목마, 웜, 암호 화폐 채굴기, 루트킷, 봇 등을 스캔합니다. GuardDuty Malware Protection은 의심스러운 동작의 소스를 검증하는 데 도움이 될 수 있는 상황별 결과를 생성합니다. 이러한 결과를 적절한 관리자에게 라우팅하여 자동화된 수정 작업을 시작할 수도 있습니다.

Q: 맬웨어 스캔이 시작되는 GuardDuty EC2 결과 유형은 무엇인가요?

맬웨어 스캔을 시작하는 GuardDuty EC2 결과는 여기에 나열되어 있습니다.

Q: GuardDuty Malware Protection으로 스캔할 수 있는 리소스 및 파일 유형은 무엇인가요?

Malware Protection은 EC2 인스턴스에 연결된 EBS를 스캔하여 악성 파일의 탐지를 지원합니다. 볼륨에 있는 모든 파일을 스캔할 수 있으며 지원되는 파일 시스템 유형은 여기에서 찾을 수 있습니다.

Q: GuardDuty Malware Protection은 어떤 유형의 위협을 탐지할 수 있나요?

Malware Protection은 트로이 목마, 웜, 암호 화폐 채굴기, 루트킷 및 봇과 같이 워크로드를 손상시키고 리소스를 악의적인 용도로 재사용하며 데이터에 무단으로 액세스하는 데 사용될 수 있는 위협을 스캔합니다.

Q: GuardDuty Malware Protection이 작동하려면 로깅을 활성화해야 하나요?

GuardDuty 또는 Malware Protection 기능의 작동을 위해 서비스 로깅을 사용하도록 설정할 필요는 없습니다. Malware Protection 기능은 통합된 내부 및 외부 소스의 인텔리전스를 사용하는 AWS 서비스인 GuardDuty의 일부입니다.

Q: GuardDuty Malware Protection은 에이전트 없이 스캔을 어떻게 수행하나요?

GuardDuty Malware Protection은 보안 에이전트를 사용하는 대신 계정의 감염 가능성이 있는 EC2 인스턴스 또는 컨테이너 워크로드에 연결된 EBS 볼륨의 스냅샷을 기반으로 복제본을 만들고 이 복제본을 스캔합니다. GuardDuty는 서비스 연결 역할을 통해 GuardDuty에 부여된 권한을 사용하여 사용자 계정에 유지된 스냅샷으로부터 암호화된 볼륨 복제본을 GuardDuty의 서비스 계정에 만들 수 있습니다. GuardDuty Malware Protection은 이 볼륨 복제본에서 맬웨어를 스캔합니다.

Q: GuardDuty Malware Protection의 무료 평가판이 있나요?

예. 각 리전에서 신규 Amazon GuardDuty 계정별로 Malware Protection 기능을 포함한 GuardDuty의 30일 무료 평가판이 제공됩니다. 기존 GuardDuty 계정의 경우 계정에서 Malware Protection을 처음으로 사용하도록 설정할 때 추가 비용 없이 30일 무료 평가판을 받을 수 있습니다. 평가 기간 동안 GuardDuty 콘솔 사용량 페이지에서 평가 기간 후 예상 비용을 확인할 수 있습니다. GuardDuty 관리자인 경우 멤버 계정의 예상 비용이 표시됩니다. 30일이 지나면 AWS 빌링 콘솔에서 이 기능의 실제 비용을 확인할 수 있습니다.

Q: 현재 GuardDuty를 사용하고 있는 경우 GuardDuty Malware Protection을 시작하려면 어떻게 해야 하나요?

GuardDuty 콘솔에서 Malware Protection 페이지로 이동하거나 API를 사용하여 Malware Protection을 사용하도록 설정할 수 있습니다. GuardDuty 다중 계정 구성으로 운영하는 경우 GuardDuty 관리자 계정의 Malware Protection 콘솔 페이지에서 전체 조직에 대해 이 기능을 사용하도록 설정할 수 있습니다. 그러면 모든 개별 멤버 계정에서 맬웨어가 모니터링됩니다. AWS Organizations의 자동 사용 기능을 사용하여 생성된 GuardDuty 계정의 경우, Malware Protection 자동 사용(auto-enable for the Malware Protection) 옵션을 명시적으로 사용하도록 설정해야 합니다.

Q: GuardDuty를 처음 사용하는 경우 계정에 기본적으로 Malware Protection이 사용되나요?

예. 콘솔 또는 API를 통해 GuardDuty를 사용하도록 설정한 신규 계정의 경우 GuardDuty Malware Protection이 기본적으로 사용됩니다. AWS Organizations의 자동 사용 기능을 사용하여 생성된 신규 GuardDuty 계정의 경우, Malware Protection 자동 사용(auto-enable for the Malware Protection) 옵션을 명시적으로 사용하도록 설정해야 합니다. 

Q: GuardDuty Malware Protection을 사용 중지하려면 어떻게 해야 하나요?

콘솔 또는 API를 사용하여 기능을 사용 중지할 수 있습니다. GuardDuty 콘솔의 Malware Protection 콘솔 페이지에서 계정의 Malware Protection을 사용 중지하는 옵션을 볼 수 있습니다. GuardDuty 관리자 계정이 있는 경우 멤버 계정에 대해 Malware Protection을 사용 중지할 수도 있습니다.

Q: GuardDuty Malware Protection을 사용 중지한 경우 다시 사용하려면 어떻게 해야 하나요?

Malware Protection이 사용 중지된 경우 콘솔 또는 API를 사용하여 기능을 사용하도록 설정할 수 있습니다. GuardDuty 콘솔의 Malware Protection 콘솔 페이지에서 계정에 Malware Protection을 사용하도록 설정할 수 있습니다.

Q: 청구 기간 중에 GuardDuty 맬웨어 스캔이 수행되지 않은 경우 요금이 발생하나요?

아니요. 청구 기간 중에 맬웨어가 스캔되지 않은 경우 Malware Protection 요금이 발생하지 않습니다. AWS 빌링 콘솔에서 이 기능의 비용을 확인할 수 있습니다.

Q: GuardDuty Malware Protection은 다중 계정 관리를 지원하나요?

예. GuardDuty에는 다중 계정 관리 기능이 있어 단일 관리자 계정에서 여러 AWS 계정을 연결하고 관리할 수 있습니다. GuardDuty는 AWS Organizations 통합을 통한 다중 계정 관리 기능을 제공합니다. 이 통합 기능을 통해 보안 및 규정 준수 팀은 조직의 모든 계정에 걸쳐 Malware Protection을 포함한 GuardDuty의 완벽한 지원을 보장할 수 있습니다.

Q: 구성을 변경하거나 소프트웨어를 배포하거나 AWS 배포를 수정해야 하나요?

아니요. 기능을 사용하도록 설정하면 GuardDuty Malware Protection이 관련 EC2 결과에 따라 맬웨어 스캔을 시작합니다. 에이전트를 배포할 필요가 없고 로그 소스를 사용하도록 설정하지 않아도 되며 다른 구성을 변경하지 않아도 됩니다.

Q: GuardDuty Malware Protection을 사용하면 실행 중인 워크로드의 성능이 영향을 받나요?

GuardDuty Malware Protection은 워크로드의 성능에 영향을 미치지 않도록 설계되었습니다. 예를 들어 맬웨어 분석을 위해 생성되는 EBS 볼륨 스냅샷은 24시간 기간에 한 번만 생성할 수 있고 GuardDuty Malware Protection은 암호화된 복제본 및 스냅샷 스캔을 완료한 후 몇 분간만 유지합니다. 또한 GuardDuty Malware Protection은 맬웨어 스캔에 고객의 컴퓨팅 리소스 대신 GuardDuty 컴퓨팅 리소스를 사용합니다.

Q: 각 AWS 리전에서 GuardDuty Malware Protection을 개별적으로 사용하도록 설정해야 하나요?

예. GuardDuty는 리전별 서비스이며, 각 AWS 리전에서 Malware Protection을 개별적으로 사용하도록 설정해야 합니다.

Q: GuardDuty Malware Protection은 암호화를 사용하나요?

GuardDuty Malware Protection은 계정에서 감염 가능성이 있는 EC2 인스턴스 또는 컨테이너 워크로드에 연결된 EBS 볼륨의 스냅샷을 기반으로 하는 복제본을 스캔합니다. EBS 볼륨이 고객 관리형 키로 암호화되는 경우 AWS Key Management Service(KMS) 키를 GuardDuty와 공유할 수 있습니다. 그러면 서비스에서 복제본 EBS 볼륨을 암호화할 때 동일한 키가 사용됩니다. 암호화되지 않은 EBS 볼륨의 경우 GuardDuty는 자체 키를 사용하여 복제본 EBS 볼륨을 암호화합니다.

Q: EBS 볼륨 복제본은 원래 볼륨과 동일한 리전에서 분석되나요?

예. 모든 복제본 EBS 볼륨 데이터(및 복제본 볼륨의 기반이 되는 스냅샷)는 원래 EBS 볼륨과 동일한 리전에 유지됩니다.

Q: GuardDuty Malware Protection에 대한 비용을 예상하고 제어하려면 어떻게 해야 하나요?

각 리전에서 신규 Amazon GuardDuty 계정별로 GuardDuty Malware Protection을 포함한 GuardDuty의 30일 무료 평가판이 제공됩니다. 기존 GuardDuty 계정의 경우 계정에서 Malware Protection을 처음으로 사용하도록 설정할 때 추가 비용 없이 30일 무료 평가판을 받을 수 있습니다. 평가 기간 동안 GuardDuty 콘솔 사용량 페이지에서 평가 기간 후 예상 비용을 추정할 수 있습니다. GuardDuty 관리자인 경우 멤버 계정의 예상 비용이 표시됩니다. 30일이 지나면 AWS 빌링 콘솔에서 이 기능의 실제 비용을 확인할 수 있습니다.

이 기능의 요금은 볼륨에서 스캔된 데이터의 GB를 기준으로 부과됩니다. 콘솔에서 스캔 옵션을 사용하여 사용자 지정을 적용할 수 있습니다. 태그를 사용하여 스캔에 포함하거나 제외할 EC2 인스턴스를 표시하여 비용을 제어할 수 있습니다. 또한 GuardDuty는 24시간에 한 번만 EC2 인스턴스를 스캔합니다. GuardDuty에서 24시간 내에 EC2 인스턴스에 대한 여러 EC2 결과가 생성되는 경우 스캔은 첫 번째 관련 EC2 결과에 대해서만 수행됩니다. 인스턴스의 EC2 결과가 마지막 맬웨어 스캔으로부터 24시간 후에 계속되는 경우 이 인스턴스에 대해 새 맬웨어 스캔이 시작됩니다.

Q: GuardDuty Malware Protection으로 생성한 스냅샷을 유지할 수 있나요?

예. Malware Protection 스캔에서 맬웨어가 탐지될 때 스냅샷 보존을 사용하도록 하는 설정이 있습니다. GuardDuty 콘솔의 설정(Settings) 페이지에서 이 설정을 사용하도록 설정할 수 있습니다. 기본적으로 스냅샷은 스캔이 완료되고 몇 분 후에 삭제되며 스캔이 완료되지 않은 경우 24시간 후에 삭제됩니다.

Q: 기본적으로 복제본 EBS 볼륨이 보존되는 최대 기간은 얼마인가요?

GuardDuty Malware Protection은 생성되고 스캔되는 각 복제본 EBS 볼륨을 최대 24시간 동안 보존합니다. 기본적으로 복제본 EBS 볼륨은 GuardDuty Malware Protection의 스캔이 완료되고 몇 분 후에 삭제됩니다. 그러나 서비스 중단 또는 연결 문제로 인해 맬웨어 스캔이 중단되는 경우 GuardDuty Malware Protection에서 24시간을 초과하여 복제본 EBS 볼륨을 보존해야 할 수도 있습니다. 이 경우 GuardDuty Malware Protection은 복제본 EBS 볼륨을 최대 7일간 보존하여 중단 또는 연결 문제를 선별하고 해결할 충분한 시간을 확보합니다. GuardDuty Malware Protection은 중단 또는 장애가 해결되거나 연장된 보존 기간이 경과한 후 복제본 EBS 볼륨을 삭제합니다.

Q: 단일 EC2 인스턴스 또는 컨테이너 워크로드에서 맬웨어 가능성을 나타내는 여러 GuardDuty 결과가 생성되면 다수의 맬웨어 스캔이 시작되나요?

아니요. GuardDuty는 감염 가능성이 있는 EC2 인스턴스 또는 컨테이너 워크로드에 연결된 EBS 볼륨의 스냅샷을 기반으로 하는 복제본을 24시간에 한 번만 스캔합니다. GuardDuty에서 맬웨어 스캔을 시작하기에 적합한 여러 결과가 생성되더라도 이전 스캔 이후 24시간이 지나지 않았다면 추가 스캔이 시작되지 않습니다. GuardDuty에서 이전 맬웨어 스캔으로부터 24시간 후에 적격 결과가 생성되는 경우 GuardDuty Malware Protection은 해당 워크로드에 대해 새 맬웨어 스캔을 시작합니다.

Q: GuardDuty를 사용 중지하는 경우 Malware Protection 기능도 사용 중지해야 하나요?

아니요. GuardDuty 서비스를 사용 중지하면 Malware Protection 기능도 사용 중지됩니다.

제품 요금에 대해 자세히 알아보기

요금 예와 무료 평가판에 대한 세부 정보를 참조하십시오.

자세히 알아보기 
무료 평가판에 가입

Amazon GuardDuty 무료 평가판에 액세스하십시오. 

무료 평가판 시작하기 
콘솔에서 구축 시작

AWS 콘솔에서 Amazon GuardDuty를 시작하십시오.

로그인