오늘날 클라우드 컴퓨팅이 급속도로 발전하는 시대에 기업들은 탄력적인 컴퓨팅, 저렴한 확장성, 그리고 글로벌 구축이라는 이점을 누리면서도 점점 더 복잡해지는 보안 위협에 직면하고 있습니다. 고객이 잠재적 위험을 사전에 파악하고 클라우드 리소스의 보안을 확보할 수 있도록 Amazon은 다음과 같은 서비스를 출시했습니다. AWS 가드듀티 Amazon S3에 저장된 AWS 계정, 워크로드 및 중요 데이터를 보호하기 위해 악성 활동과 무단 액세스를 지속적으로 모니터링하는 관리형 위협 탐지 서비스입니다.
AWS 관리 콘솔에서 클릭 한 번으로 GuardDuty가 클라우드 환경에서 즉시 실행되며, 머신러닝과 위협 인텔리전스를 활용하여 잠재적 보안 문제를 자동으로 분석합니다. AWS 공식 리셀러로서, 저희는 기업 보안에 있어 이 서비스의 중요성을 잘 알고 있으며, 수많은 고객 프로젝트가 배포부터 구현까지 엔드 투 엔드 보안을 확보하도록 지원해 왔습니다.
AWS GuardDuty란 무엇인가요?
AWS GuardDuty는 관리형 위협 탐지 서비스, 머신 러닝, 맬웨어 탐지, AWS 자체 및 타사 위협 인텔리전스 라이브러리를 사용하여 AWS 환경에 대한 보안 분석을 수행하고 잠재적 위험을 식별하여 우선순위를 지정합니다.
비즈니스 아키텍처가 전적으로 클라우드 기반이든 온프레미스와 클라우드의 하이브리드 환경에 구축되었든 GuardDuty는 효율적이고 침입 가능성이 낮은 보안 탐지 기능을 제공하여 기업이 추가 하드웨어 및 운영 비용을 들이지 않고도 전반적인 보안 보호 기능을 개선할 수 있도록 지원합니다.
핵심 기능 하이라이트
1. 고정밀 위협 식별
GuardDuty는 기존 방식으로는 탐지하기 어려운 위험 지표(예: 비정상적인 시간이나 장소의 접근, 알려진 악성 IP 주소와의 상호작용, 비정상적인 데이터 전송 패턴)를 감지할 수 있습니다. 시스템을 24시간 연중무휴 모니터링할 수 없더라도 GuardDuty는 사용자를 대신하여 지속적으로 모니터링하고 중요한 알림을 푸시할 수 있습니다.
2. 지속적인 모니터링 및 중앙 관리
AWS CloudTrail, VPC 플로우 로그, DNS 로그의 데이터를 지속적으로 분석하고 여러 계정에 걸친 위협 탐지 결과를 중앙에서 관리할 수 있도록 지원하므로, 여러 계정과 여러 사업 부문을 보유한 대규모 엔터프라이즈 환경에 특히 적합합니다. 이를 통해 수동 로그 수집 및 상관관계 분석의 필요성이 없어져 보안 분석의 복잡성이 크게 줄어듭니다.
3. 위협 심각도 등급
GuardDuty는 위협을 다음과 같이 분류합니다. 낮음, 중간, 높음 세 가지 수준:
- 낮은: 의심스러운 활동을 감지하고 차단 조치를 취해 위험이 확대되는 것을 방지합니다.
- 가운데: 이상 징후가 뚜렷하며 가능한 한 빨리 조사가 필요합니다.
- 높은: 악성 활동이 발생하고 있는지 확인하고 즉시 대응하세요.
이러한 등급 매기기 메커니즘을 통해 보안 팀은 우선순위를 빠르게 결정하고 에너지와 리소스를 적절하게 할당할 수 있습니다.
4. 높은 가용성과 탄력적인 확장성
GuardDuty는 탐지 수요에 따라 분석 용량을 동적으로 조정하여 수동 개입 없이도 트래픽이 급증하더라도 안정적인 탐지 성능을 보장합니다.
5. 신속한 배포
단일 또는 다중 계정 환경에서 GuardDuty는 콘솔에서 한 번의 클릭으로 또는 API 호출을 통해 활성화할 수 있으며 기본적으로 지원합니다. AWS 조직 통합으로 대규모 배포가 용이해집니다.
장점과 단점
장점
- 여러 계정의 중앙 집중식 보안 관리
- 인간의 개입 없이 완전 자동으로 지속적인 모니터링
- 유휴 리소스 낭비를 방지하기 위해 주문형 결제를 이용하세요
- 항상 업데이트되는 위협 인텔리전스 라이브러리
- AWS 서비스와 기본적으로 통합되어 2차 개발 및 자동화가 용이합니다.
불충분하다
- 가격 모델은 데이터 양에 따라 결정되는데, 이는 고정되어 있지 않고 유연한 예산 계획이 필요합니다.
- AWS 환경에서만 작동하며 AWS가 아닌 리소스를 직접 모니터링할 수 없습니다.
- 자동 응답 도구와의 통합이 필요한 알림 피로의 잠재적 위험
- 탐지 규칙을 사용자 정의하는 기능이 제한됨
- 탐지만 가능하며 직접적인 차단은 불가
작동 원리
GuardDuty는 다음을 포함한 여러 AWS 데이터 소스에서 실시간으로 엄청난 양의 이벤트를 분석합니다.
- CloudTrail 이벤트 로그
- Amazon VPC 흐름 로그
- DNS 쿼리 로그
위협은 크게 세 가지 범주로 나눌 수 있습니다.
- 인스턴스 손상
- 비정상적인 네트워크 트래픽, 위험도가 높은 외부 IP 연결, 하이재킹된 EC2 인스턴스 등을 감지합니다.
- 정찰
- 여기에는 악성 IP의 포트 스캐닝, VPC 네트워크 감지, 비정상적인 API 호출과 같은 활동이 포함됩니다.
- 계정 자격 증명이 도난당했습니다.
- 특이한 지리적 위치에서 발생하는 API 호출, 계정 보안 정책을 약화시키는 동작, 알려진 악성 출처에서의 액세스 시도 등을 식별합니다.
GuardDuty를 사용해야 하는 이유는?
모든 클라우드 환경에서 퍼블릭 네트워크에 노출된 리소스는 공격 대상이 될 수 있습니다. GuardDuty는 AWS 보안팀, 타사 인텔리전스 소스, 그리고 머신러닝 알고리즘을 통해 지속적으로 최적화되는 탐지 규칙을 통해 기업이 의심스러운 행동을 사전에 식별할 수 있도록 지원합니다. AWS 람다,보안 허브 Kubernetes 및 Azure와 같은 서비스는 자동화된 복구 및 대응을 달성할 수 있습니다.
더 중요한 것은 GuardDuty입니다. 추가 인프라 구축이 필요하지 않습니다.비용 통제가 가능하고 배포가 간편하므로 리소스가 제한적이거나 보안 팀이 작은 기업에 특히 유용합니다.
일반적인 응용 프로그램 시나리오
- 워크로드 보안 보호
- EC2 인스턴스가 마이닝, DDoS 공격 또는 고위험 도메인과의 통신에 사용되는지 감지합니다.
- AWS 자격 증명 보호
- 위험도가 높은 IP 주소에서 중요한 API를 호출하는 등 비정상적인 API 사용 패턴을 발견합니다.
- S3 데이터 액세스 모니터링
- 악의적인 행위자가 비정상적으로 큰 다운로드, 예상치 못한 출처에서의 액세스 또는 S3 버킷에 액세스하는 것을 감지합니다.
AWS 에이전트로서
고객과 실제로 협력한 결과, 많은 회사가 GuardDuty를 활성화한 후에도 자동 응답, 규정 준수 감사, 계정 간 중앙 관리 등과 결합하는 등 GuardDuty의 기능을 충분히 활용하지 않는다는 사실을 발견했습니다. AWS 공식 리셀러, 우리는 고객이 GuardDuty를 신속하게 활성화할 수 있도록 도울 뿐만 아니라 다음과 같은 작업도 수행합니다.
- 고객 맞춤형 위협 탐지 및 대응 솔루션
- 기존 SIEM 및 SOAR 시스템과 통합
- 지속적인 위협 인텔리전스 최적화 및 보안 운영 및 유지 관리 서비스 제공
- 기업 돕기 비용 최적화 그리고 로그 거버넌스
- 규정 준수 요구 사항에 따라 감사 및 보고 지원 제공
이러한 전문적인 서비스를 통해 우리는 GuardDuty를 단순한 "도구"에서 고객 보안 시스템의 "중추 신경계"로 변모시켰습니다.
요약하다
AWS GuardDuty는 클라우드 위협 탐지의 핵심 구성 요소로, 기업이 잠재적 위험을 신속하게 파악하고 효과적으로 대응할 수 있도록 지원합니다. 사용 편의성, 지속적인 모니터링 기능, 그리고 위협 인텔리전스 지원을 통해 AWS 환경에서 기업에 필수적인 보안 보호막을 제공합니다.
GuardDuty를 빠르고 안전하게 구현하고 회사의 기존 보안 시스템과 긴밀하게 통합하고 싶으시다면 저희에게 연락해 주세요.저희는 AWS 공식 에이전트입니다평가 및 배포부터 지속적인 최적화까지 전체 프로세스 서비스를 제공하여 AWS 환경이 안전하고 효율적으로 실행되도록 보장하고, 보안 보호가 비즈니스 성장을 위한 진정한 원동력이 되도록 합니다.
