본문으로 건너뛰기

GuardDuty

1 GuardDuty

  • Amazon GuardDuty는 AWS 환경에서의 보안을 강화하기 위한 위협 탐지 서비스입니다.
  • 이 서비스는 다양한 데이터 소스에서 수집된 정보를 활용하여 AWS 계정과 워크로드에서 발생할 수 있는 악의적인 활동이나 이상 현상을 지속적으로 모니터링하고 분석합니다.

2 기능

2.1 통합된 위협 탐지

  • GuardDuty는 AWS의 다양한 기본 데이터 소스를 활용합니다.
  • 이 데이터 소스에는 AWS Identity and Access Management (IAM) 액세스 키 사용 및 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스 활동과 같은 정보가 포함됩니다.
  • 서비스는 이러한 데이터를 분석하여 비정상적인 패턴이나 의심스러운 활동을 식별함으로써, 잠재적인 보안 위협을 신속하게 탐지할 수 있습니다.

2.2 확장된 보호 범위

  • GuardDuty는 AWS 환경의 다양한 부분을 보호하기 위해 확장될 수 있습니다.
  • 예를 들어, Amazon S3, Amazon EKS, Amazon RDS, AWS Lambda와 같은 서비스를 사용할 때 추가 데이터를 분석하여 더 넓은 범위의 보안 위협을 감지할 수 있습니다.
  • 사용자는 GuardDuty 보호 플랜을 활성화하여 이러한 분석을 사용할 수 있으며, 이를 통해 AWS 리소스에 대한 종합적인 보호를 구현할 수 있습니다.

2.3 멀웨어가 포함된 파일 식별

  • Amazon Elastic Block Store(EBS)를 스캔하여 Amazon Elastic Compute Cloud(EC2)에서 실행되는 인스턴스 및 컨테이너 워크로드에 의심스러운 동작을 야기하는 멀웨어가 포함되었을 수 있는 파일을 찾습니다.

2.4 컨테이너 환경의 위협 탐지 및 완화

  • Amazon EKS와 같은 컨테이너화된 환경은 특히 보안이 중요합니다.
  • GuardDuty는 Amazon EKS 감사 로그와 컨테이너 런타임 활동을 분석하여 컨테이너 워크로드에서 발생할 수 있는 악의적이거나 의심스러운 행동을 식별합니다.
  • 이는 컨테이너 기반 애플리케이션의 보안을 강화하고, 더 안전한 개발 및 배포 환경을 조성하는 데 기여합니다.

3 GuardDuty의 입력 데이터 소스

  • CloudTrail 이벤트 로그: 비정상적인 API 호출, 무단 배포 등을 감지합니다.
    • CloudTrail 관리 이벤트: VPC 서브넷 생성, 트레일 생성 등의 관리 이벤트를 포함합니다.
    • CloudTrail S3 데이터 이벤트: 객체 가져오기, 객체 목록 나열, 객체 삭제 등의 S3 데이터 이벤트를 포함합니다.
  • VPC 플로우 로그: 비정상적인 내부 트래픽 및 비정상적인 IP 주소를 감지합니다.
  • DNS 로그: 인코딩된 데이터를 DNS 쿼리 내에서 전송하는 손상된 EC2 인스턴스를 감지합니다.

4 선택적 기능

  • EKS 감사 로그: Amazon EKS 클러스터의 감사 로그를 분석합니다.
  • RDS 및 Aurora: 데이터베이스 활동을 모니터링합니다.
  • EBS: Amazon Elastic Block Store의 활동을 모니터링합니다.
  • Lambda: AWS Lambda 함수의 활동을 모니터링합니다.
  • S3 데이터 이벤트: Amazon S3 버킷에서 발생하는 데이터 이벤트를 모니터링합니다.

5 이벤트 알림 설정

  • EventBridge 규칙 설정: 위협 탐지 시 알림을 받기 위해 EventBridge 규칙을 설정할 수 있습니다.
  • 타겟 설정: EventBridge 규칙의 타겟으로 AWS Lambda 함수나 SNS 주제를 지정할 수 있습니다.

6 특화된 보호

  • 암호화폐 공격 방지: 암호화폐 공격에 대한 전용 탐지 기능을 제공합니다.

7 주요 AWS 보안 서비스와 비교

  • Macie:
    • 목적: 민감한 데이터 보호에 중점을 두고 S3 버킷의 민감한 데이터를 자동으로 식별하고 보안 위험을 평가합니다.
    • 주요 기능: 기계 학습을 사용한 데이터 분류 및 데이터 보호 모니터링, S3 버킷 보안 분석.
  • Inspector:
    • 목적: EC2 인스턴스, 컨테이너, Lambda 함수의 소프트웨어 취약성을 검사하여 보안 문제를 조기에 발견하고 해결합니다.
    • 주요 기능: 자동화된 취약성 평가, 보안 모범 사례 준수 검토, 상세 보고서 제공.
  • GuardDuty:
    • 목적: AWS 계정 및 리소스에 대한 실시간 위협 탐지 기능을 제공하여 보안 위협에 신속하게 대응합니다.
    • 주요 기능: 기계 학습을 활용한 이상 징후 탐지, CloudTrail, VPC Flow Logs, DNS 로그 분석, 보안 이벤트 통지.
  • Detective:
    • 목적: 보안 사건의 원인 분석 및 포렌식 조사에 도움을 주며, GuardDuty와 통합하여 위협의 근본 원인을 파악합니다.
    • 주요 기능: 시각적 데이터 분석, GuardDuty 및 AWS CloudTrail 통합, 상관 관계 분석.
  • WAF (Web Application Firewall):
    • 목적: 웹 애플리케이션을 다양한 웹 공격으로부터 보호합니다.
    • 주요 기능: SQL 인젝션, 크로스 사이트 스크립팅(XSS) 등의 공격 차단, 사용자 정의 규칙 작성, 실시간 웹 트래픽 모니터링.
  • Shield:
    • 목적: AWS 애플리케이션을 DDoS 공격으로부터 보호합니다.
    • 주요 기능: 자동화된 DDoS 보호(Shield Standard), 고급 보호 및 비용 보호(Shield Advanced), 24/7 DDoS 응답 팀 지원.