AWS 보안 스타터 팩: 5가지 필수 도구

Source: Dev.to

대부분의 클라우드 침해 사고는 정교한 공격이나 천재 해커 때문이 아닙니다. 대부분은 공개된 S3 버킷이나 과도하게 허용된 권한을 가진 IAM 역할과 같은 단순한 잘못된 설정 때문에 발생합니다. AWS는 이러한 문제를 방지하기 위한 기본 제공 도구들을 제공하지만, 많은 팀이 이를 활성화하지 않는 것이 현실입니다.

GuardDuty

GuardDuty는 24시간 내내 AWS 환경을 모니터링합니다. CloudTrail, VPC Flow Logs, DNS 로그에서 데이터를 수집해 정상적인 활동 기준을 설정하고, 이상 징후가 감지되면 알림을 보냅니다.

Security Hub

여러 보안 도구를 동시에 사용할 경우, 발견 사항이 서로 다른 서비스에 흩어지기 쉽습니다. Security Hub는 이러한 발견 사항을 하나의 대시보드에 모아 보안 상태를 통합적으로 파악할 수 있게 해줍니다.

IAM Access Analyzer

권한은 금방 복잡해질 수 있습니다. 프로젝트를 위해 부여한 교차 계정 접근 권한이 프로젝트 종료 후에도 남아 불필요한 노출을 초래할 수 있습니다. IAM Access Analyzer는 과도하게 허용된 정책을 식별하고 수정하도록 도와줍니다.

CloudTrail

CloudTrail은 AWS 계정 전반의 API 활동을 기록해 변경 불가능한 감사 로그를 제공합니다. 포렌식 조사와 누가 언제 무엇을 했는지 파악하는 데 필수적입니다.

Config

AWS Config는 구성 변경 사항을 지속적으로 기록하고 정의한 규칙에 따라 평가합니다. 임시 보안 그룹 열기나 암호화되지 않은 리소스와 같은 드리프트를 발견해, 이들이 누적되어 큰 컴플라이언스 격차가 되기 전에 차단합니다.

왜 다섯 가지를 모두 사용해야 할까?

이 도구들은 의도적으로 겹치도록 설계되었습니다:

• GuardDuty는 실시간으로 활성 위협을 탐지합니다.
• Security Hub는 통합된 보안 개요를 제공합니다.
• IAM Access Analyzer는 권한 확산을 방지합니다.
• CloudTrail은 사고 발생 시 포렌식 증거를 제공합니다.
• Config는 잘못된 구성이 쌓이는 것을 막습니다.

다섯 가지를 모두 운영하면 침해 사고 비용에 비해 최소한의 비용으로 포괄적인 보호를 구현할 수 있습니다. AWS 사용 규모가 커질수록 이러한 기본 도구들은 견고한 보안 기반을 구축하는 데 필수적입니다.