Amazon Security Lake 기능

Amazon Security Lake는 특별히 구축된 보안 데이터 레이크를 소유자의 계정 안에 생성합니다. Security Lake는 모든 계정과 리전의 클라우드, 온프레미스, 사용자 지정 데이터 소스에서 로그와 이벤트 데이터를 수집합니다. 수집된 로그는 Amazon Simple Storage Service(S3) 버킷에 저장되기 때문에 계정 소유자가 데이터를 완벽하게 제어하고 소유할 수 있습니다.

Security Lake는 다음 서비스에 대한 로그를 자동으로 수집합니다.

• AWS CloudTrail
• Amazon Virtual Private Cloud(VPC)
• Amazon Route 53
• Amazon Simple Storage Service(S3)
• AWS Lambda
• Amazon Elastic Kubernetes Service(EKS)
• AWS 웹 애플리케이션 방화벽(WAF)

또한 AWS Security Hub를 통해 다음 서비스에 대한 보안 조사 결과를 수집합니다.

• AWS Config
• AWS Firewall Manager
• Amazon GuardDuty
• AWS Health
• AWS Identity and Access Management(IAM) Access Analyzer
• Amazon Inspector
• Amazon Macie
• AWS Systems Manager Patch Manager

Security Lake는 AWS 로그 및 보안 조사 결과를 OCSF로 자동으로 정규화합니다. 서드 파티 보안 솔루션의 데이터, 다른 클라우드 소스의 데이터 및 사용자 지정 데이터(예: OCSF 형식으로 변환한 내부 애플리케이션 또는 네트워크 인프라의 로그)를 추가할 수 있습니다. OCSF가 지원되므로 데이터를 중앙 집중화하고, 변환하고, 원하는 분석 도구에 보안 데이터를 제공할 수 있습니다.

서비스를 사용할 수 있는 여러 리전과 다수의 AWS 계정에 걸쳐 Security Lake를 활성화할 수 있습니다. 리전별로 여러 계정에서 보안 데이터를 집계하거나, 여러 리전의 보안 데이터를 롤업 리전으로 통합할 수 있습니다. Security Lake 롤업 리전은 리전의 규정 준수 요구 사항을 준수하는 데 도움을 줄 수 있습니다.

Security Lake는 보안 및 분석 도구의 데이터 레이크 액세스 권한 설정을 간소화하는 데 도움이 됩니다. 예를 들어 CloudTrail과 같은 지정된 소스에서 데이터 세트로의 액세스 권한만 부여하도록 선택할 수 있습니다. 사용할 수 있는 액세스 모드는 2가지입니다. 데이터 액세스 모드를 사용하면 데이터 레이크에 새 객체가 기록될 때 알림이 생성됩니다. 쿼리 액세스 모드를 사용하면 도구에서 보안 데이터 레이크에 저장된 데이터를 쿼리할 수 있습니다.

Security Lake는 사용자 지정 가능한 보존 설정을 사용해 데이터의 수명 주기를 관리하며, 자동 스토리지 계층화를 통해 스토리지 비용을 관리합니다. Security Lake는 수신되는 보안 데이터를 자동으로 분할하고 저장 및 쿼리에 효율적인 Apache Parque 형식으로 변환합니다. Security Lake는 AWS Glue 카탈로그에서 Apache Iceberg 테이블을 지원하므로 분석 도구를 손쉽게 전환하여 향상된 성능으로 쿼리를 실행할 수 있습니다.

AWS AppFabric은 SaaS 애플리케이션 감사 로그를 OCSF 형식으로 자동으로 정규화하고 정규화된 OCSF데이터를 Security Lake로 전송합니다. Security Lake와 AppFabric을 함께 사용하면 주요 데이터 소스 전반에서 보안 데이터를 손쉽게 집계하고 정규화하며 시각화할 수 있습니다. AppFabric과 Security Lake의 통합에는 데이터 정규화 또는 데이터 모으기와 관련된 요금이 없습니다. 표준 AppFabric 요금이 적용됩니다.