Site icon 지락문화예술공작단

Amazon Security Lake 미리 보기 – 보안을 위한 고객 소유 데이터 레이크 서비스

Amazon Security Lake 미리 보기 – 보안을 위한 고객 소유 데이터 레이크 서비스

잠재적 보안 위협 및 취약성을 식별하기 위해 고객은 다양한 리소스에 대한 로깅을 활성화하고 분석 도구 내에서 쉽게 액세스하고 사용할 수 있도록 이러한 로그를 중앙 집중화해야 합니다. 이러한 데이터 소스 중 일부에는 온프레미스 인프라, 방화벽 및 엔드포인트 보안 솔루션의 로그가 포함되며, 클라우드를 사용하는 경우 Amazon Route 53, AWS CloudTrailAmazon Virtual Private Cloud(VPC)와 같은 서비스가 포함됩니다.

Amazon Simple Storage Service(S3) 및 AWS Lake FormationAWS에서 데이터 레이크를 생성하고 관리하는 작업을 간소화합니다. 그러나 일부 고객의 보안 팀은 데이터 정규화와 같은 보안 도메인별 측면을 정의하고 구현하는 데 여전히 어려움을 겪고 있습니다. 이를 위해서는 각 로그 소스의 구조와 필드를 분석하고, 스키마와 매핑을 정의하고, 위협 인텔리전스와 같은 데이터를 강화해야 합니다.

오늘 Amazon Security Lake의 평가판 릴리스를 발표합니다. Amazon Security Lake는 클라우드 및 온프레미스 소스의 조직 보안 데이터를 계정에 저장된 특수 목적의 데이터 레이크로 자동 중앙 집중화하는 특수 목적의 서비스입니다. Amazon Security Lake는 보안 데이터의 중앙 관리를 자동화하여 통합된 AWS 서비스 및 타사 서비스를 표준화하고, 사용자 지정 가능한 보존으로 데이터 수명 주기를 관리하며 스토리지 계층화도 자동화합니다.

Amazon Security Lake의 주요 기능은 다음과 같습니다.

보안 데이터 관리의 운영 오버헤드를 줄이면 조직 전체에서 더 많은 보안 신호를 더 쉽게 수집하고 해당 데이터를 분석하여 데이터, 애플리케이션 및 워크로드의 보호를 개선할 수 있습니다.

컬렉션 데이터를 위한 Security Lake 구성하기
Amazon Security Lake를 시작하려면 AWS 콘솔에서 Get started(시작하기)를 선택하세요. 모든 리전 및 모든 계정에 대해 로그 및 이벤트 소스를 활성화할 수 있습니다.

CloudTrail 로그, VPC 흐름 로그 및 Route53 리졸버 로그와 같은 로그 및 이벤트 소스를 데이터 레이크에 선택할 수 있습니다. 일부 리전은 Amazon S3에서 모든 암호화 키와 조직 내 특정 AWS 계정을 생성하고 관리하는 Amazon S3 관리형 암호화를 통해 데이터를 데이터 레이크에 제공합니다.

다음으로 롤업 및 참여 리전을 선택할 수 있습니다. 참여 리전에서 집계된 모든 데이터는 롤업 리전에 있습니다. 데이터 레지던시 규정 준수 요구 사항을 준수하는 데 도움이 되는 여러 롤업 리전을 생성할 수 있습니다. 선택적으로, Security Lake에서 사용되는 표준 Amazon S3 스토리지 클래스에서 데이터를 전환하려는 Amazon S3 스토리지 클래스와 보존 기간을 정의할 수 있습니다.

초기 구성 후, 리전이나 계정에서 로그 소스를 추가하거나 제거할 수 있는 경우 콘솔의 왼쪽 창에서 Sources(소스)를 선택합니다.

또한 Bind DNS 로그, 엔드포인트 원격 분석 로그, 온프레미스 Netflow 로그 등과 같은 사용자 지정 소스에서 데이터를 수집할 수 있습니다. 사용자 지정 소스를 추가하기 전에 AWS IAM 역할을 생성하여 AWS Glue에 대한 권한을 부여해야 합니다.

사용자 지정 데이터 소스를 생성하려면 Create custom source(사용자 지정 소스) 왼쪽 메뉴에서 Create custom source(사용자 지정 소스 생성)을 선택합니다.

Security Lake에 데이터를 쓰고 사용자를 대신하여 AWS Glue를 호출하려면 IAM 역할 Amazon 리소스 이름(ARN)을 입력해야 합니다. 그런 다음 사용자 지정 소스에 대한 세부 정보를 제공할 수 있습니다.

효율적인 데이터 처리 및 쿼리를 위해서는 Parquet 형식의 객체를 사용하여 AWS 리전, AWS 계정, 연도, 월, 일 및 시간별로 사용자 지정 소스의 객체를 분할해야 합니다.

Security Lake의 데이터 소비
이제 Security Lake의 로그와 이벤트를 사용하는 서비스인 구독자를 생성할 수 있습니다. 구독자를 추가하거나 보려면 콘솔의 왼쪽 창에서 Subscribers(구독자)를 선택합니다.

Security Lake는 두 가지 유형의 구독자 데이터 액세스 방법을 지원합니다.

구독자를 추가할 때 Amazon S3를 선택하여 구독자를 위한 데이터 액세스를 생성할 수 있습니다. 기본 알림 방법을 선택하면 HTTPS 엔드포인트 또는 Amazon SQS에서 다음과 같은 객체 알림 메시지를 받을 수 있습니다.

{
  "source": "aws.s3",
  "time": "2021-11-12T00:00:00Z",
  "region": "ca-central-1",
  "resources": [
    "arn:aws:s3:::example-bucket"
  ],
  "detail": {
    "bucket": {
      "name": "example-bucket"
    },
    "object": {
      "key": "example-key",
      "size": 5,
      "etag": "b57f9512698f4b09e608f4f2a65852e5"
    },
    "request-id": "N4N7GDK58NMKJ12R",
    "requester": "123456789012"
  }
}

쿼리 액세스 권한이 있는 구독자는 Amazon Athena와 같은 서비스와 AWS Lake Formation에서 읽을 수 있는 기타 서비스를 사용하여 Security Lake에 저장된 데이터를 직접 쿼리할 수 있습니다. 다음은 CloudTrail 데이터의 샘플 쿼리입니다.

SELECT 
      time, 
      api.service.name, 
      api.operation, 
      api.response.error, 
      api.response.message, 
      src_endpoint.ip 
    FROM ${athena_db}.${athena_table}
    WHERE eventHour BETWEEN '${query_start_time}' and '${query_end_time}' 
      AND api.response.error in (
        'Client.UnauthorizedOperation',
        'Client.InvalidPermission.NotFound',
        'Client.OperationNotPermitted',
        'AccessDenied')
    ORDER BY time desc
    LIMIT 25

구독자는 구독자를 생성할 때 선택한 AWS 리전의 소스 데이터에만 액세스할 수 있습니다. 구독자에게 여러 리전의 데이터에 대한 액세스 권한을 부여하려면 구독자를 생성한 지역을 롤업 리전으로 설정하면 됩니다.

타사 통합
지원되는 타사 통합의 경우 Amazon Security Lake와 통합된 구독 서비스 외에도 여러 소스가 있습니다.

Amazon Security Lake는 Barracuda Networks, Cisco, Cribl, CrowdStrike, CyberArk, Lacework, Laminar, Netscout, Netskope, Okta, Orca, Palo Alto Networks, Ping Identity, SecurityScorecard, Tanium, The Falco Project, Trend Micro, Vectra AI, VMware, Wiz 및 Zscaler를 비롯한 OCSF 보안 데이터를 제공하는 타사 소스를 지원합니다.

또한 Datadog, IBM, Rapid7, Securonix, SentinelOne, Splunk, Sumo Logic 및 Trellix를 포함하여 Security Lake를 지원하는 타사 보안, 자동화 및 분석 도구를 사용할 수 있습니다. Accenture, Atos, Deloitte, DXC, Kyndryl, PWC, Rackspace 및 Wipro와 같은 서비스 파트너도 귀하 및 Amazon Security Lake와 협력할 수 있습니다.

평가판 사용해 보기
Amazon Security Lake의 평가판 릴리스는 이제 미국 동부(오하이오), 미국 동부(버지니아 북부), 미국 서부(오레곤), 아시아 태평양(시드니), 아시아 태평양(도쿄), 유럽(프랑크푸르트) 및 유럽(아일랜드) 리전에서 사용할 수 있습니다.

자세한 내용은 Amazon Security Lake 페이지와 Amazon Security Lake 사용 설명서를 참조하세요. 평가판 기간 동안 더 많은 피드백을 듣고 싶습니다. AWS re:POST 또는 일반 AWS Support 담당자를 통해 피드백을 보내주세요.

Channy

Source: Amazon Security Lake 미리 보기 – 보안을 위한 고객 소유 데이터 레이크 서비스

Exit mobile version