D1-01. Amazon GuardDuty
Amazon GuardDuty는 다양한 AWS 서비스의 로그 데이터를 ML 기반으로 분석하여 지능적으로 위협을 탐지하고, EventBridge를 통한 유연한 자동화 대응 기능을 제공하는 AWS 클라우드 보안의 핵심 서비스입니다.
1. Amazon Security Hub 개요
AWS Security Hub는 AWS 계정 전반에 걸쳐 보안 알림(alerts) 및 보안 상태를 통합적으로 보여주는 중앙 집중식 보안 관리 서비스입니다. 다양한 AWS 서비스 및 파트너 솔루션에서 생성된 보안 관련 결과(findings)를 집계하고, 산업 표준 및 모범 사례에 기반한 자동화된 보안 검사를 수행하여 전반적인 보안 태세 및 컴플라이언스 상태를 가시화하고 개선을 돕습니다.
1-1. 특징
- 중앙 집중식 보안 대시보드
- 여러 AWS 계정의 보안 상태 및 컴플라이언스 준수 현황을 대시보드에서 파악 가능
- 대시보드를 통해 보안 팀은 신속하게 문제 대응 가능
- 결과(Findings) 집계
- AWS의 다양한 보안 서비스(GuardDuty, Inspector, Macie, IAM Access Analyzer, Config 등) 및 서드파티 보안 솔루션에서 생성된 보안 관련 결과 수집
- 수집된 데이터를 정규화된 형식으로 통합
- 자동화된 보안 검사 및 컴플라이언스 확인
- 보안 표준 준수 여부
- CIS AWS Foundations Benchmark, AWS Foundational Security Best Practices, PCI DSS 등의 산업 표준 및 AWS 모범 사례 기반으로 계정 자동 검사하고 규정 준수 여부 평가
- Config 연동 필수
- Security Hub 작동하려면 AWS Config 서비스 활성화 필요
- Config는 AWS 리소스의 구성을 지속적인 기록과 변경 사항 추적하여 Security Hub가 보안 검사에 필요한 데이터 제공
- 보안 표준 준수 여부
- 30일 무료 평가판: 초기 30일간 무료로 서비스 사용 가능
1-2. 주요 기능
| 구성 요소 | 설명 |
|---|---|
| Security Findings | 다양한 보안 서비스에서 수집한 이슈 항목 (ASFF 포맷) |
| Insights | 특정 보안 주제에 대한 Finding 묶음 (자동/사용자 정의 가능) |
| Security Standards | CIS, PCI DSS, AWS Best Practices 등 자동 점검 기준 |
| Custom Actions | 사용자 정의 대응 트리거 설정, EventBridge와 연동 |
| Cross-Region Aggregation | 여러 리전의 데이터를 중앙 리전에서 통합 조회 |
| Organizations 통합 | 조직 내 모든 계정을 중앙에서 일괄 관리 가능 |
2. 동작 프로세스
2-1. 다중 계정 지원
여러 AWS 계정의 보안 결과를 한 곳으로 모아 관리할 수 있음.
2-2. 다양한 소스에서 결과 수집
1). AWS 보안 관련 네이티브 서비스
- Amazon GuardDuty – 위협 탐지 서비스 (악성 활동/비정상 동작 탐지)
- Amazon Inspector – EC2, ECR, Lambda 등 취약점 관리 및 보안 평가
- Amazon Macie – 민감 데이터(PII 등) 식별 및 보호
- IAM Access Analyzer – 리소스 외부 액세스 정책 분석
- AWS Firewall Manager – WAF, Shield, SG 정책 관리
- AWS Config – 리소스 구성 규정 준수 여부 평가 (Security Hub 필수 전제 조건)
- AWS Systems Manager – 패치 상태 등 보안 관련 인사이트 제공
- AWS Health – AWS 서비스 상태 및 이벤트 관련 알림
2). 파트너 솔루션 (3rd party)
- 수십 개 이상의 AWS Security Hub Partner Solutions → Marketplace를 통해 Security Hub와 연계 가능
3). 자동 검사 및 Finding 생성
- AWS Audit Manager – 규제/컴플라이언스 평가 항목 자동 연계
- AWS Detective – GuardDuty 결과 심화 조사 (Security Hub findings로 연결)
- Amazon Verified Access – 애플리케이션 접근 제어 결과
- Amazon Verified Permissions – 세분화된 권한 제어 관련 findings
4). Amazon EventBridge 연동
새로운 Finding이 생성되거나 기존 Finding이 업데이트되면, Amazon EventBridge 이벤트 발생
-
Findings → EventBridge 이벤트로 Lambda 실행
-
Findings → EventBridge 이벤트로 SNS 알림
5). 심화 조사
특정 Finding에 대한 심층적인 조사가 필요할 경우, Amazon Detective와 연동하여 해당 보안 문제의 발생 원인과 연관된 활동들을 신속한 분석과 시각화 가능
3. 요금 체계
Security Hub는 두 가지 주요 요소에 따라 요금이 부과됨.
- 보안 검사당 요금 (Per Check): 보안 표준에 따라 수행되는 자동화된 보안 검사의 횟수에 비례하여 요금 발생
- 수집된 결과 이벤트당 요금 (Per Ingested Event): GuardDuty, Inspector 등 다른 서비스로부터 Security Hub로 수집되는 결과 이벤트의 양에 따라 요금 발생