D2-02. AWS의 보안 및 규정 준수를 위한 로깅
AWS는 CloudTrail, Config, CloudWatch 등 다양한 로그를 통해 보안 감사·규정 준수를 지원하며, 로그는 S3에 저장·Athena로 분석하고 Glacier로 장기 보관 및 불변성을 보장할 수 있습니다.
1. Amazon Inspector
Amazon Inspector는 EC2 인스턴스, ECR의 컨테이너 이미지, Lambda 함수에 대해 자동화된 보안 평가(Automated Security Assenssment) 를 수행하는 서비스입니다.
1-1. 평가 대상
1). 실행 중인 EC2 인스턴스
- 요구사항: Systems Manger(SSM) 에이전트를 통해 작동함.
- 평가 항목
- OS 취약점: 운영 체제의 알려진 취약점 (CVE)
- 네트워크 접근성: 의도하지 않는 네트워크 노출 여부
- 스캔 시점: 지속적인 분석
2). ECR의 컨테이너 이미지
- 평가 항목: Docker 이미지 등 컨테이너 이미지 내의 소프트웨어 패키지 취약점 (CVE)
- 스캔 시점: 이미지가 Amazon ECR로 Push될 때 분석
3). Lambda 함수
- 평가 항목
- 함수 코드 내의 취약점
- 패키지 종속성의 알려진 취약점
- 스캔 시점: 함수가 Deploy될 때 분석
1-2. 특징
1). 지속적인 스캔 및 자동 재검사
- 지속적인 인프라 모니터링
- 새로운 취약점(CVE)이 DB 업데이트 시 Inspector가 자동으로 리소스를 다시 스캔하여 새로운 위협에 노출되었는지 확인
2). Risk Score 제공
- 발견된 모든 취약점에 대해 위험 점수 할당
- 해당 점수를 통해 담당자가 가장 시급한 위협부터 우선순위를 정해 처리할 수 있도록 도움.