D2-01. Amazon Inspector
Amazon Inspector는 EC2, ECR 컨테이너 이미지, Lambda 함수에 대해 자동화된 보안 평가를 제공하는 서비스입니다. EC2는 SSM으로 지속 스캔되고, 컨테이너는 ECR에 푸시될 때, Lambda는 배포 시 검사하며 발견된 취약점에 위험 점수를 매겨 우선순위 대응을 돕습니다.
1. AWS의 보안 및 규정 준수를 위한 로깅
AWS는 보안 감사, 분석 및 규정 준수(Compliance) 요건을 충족하기 위해 다양한 서비스에서 로그를 제공합니다.
1-1. 주요 AWS 로그 유형
| 로그 | 설명 |
|---|---|
| CloudTrail | 계정 내의 모든 API 호출을 추적하여 ‘누가, 무엇을, 언제’ 했는지 기록하는 핵심 감사 로그 |
| AWS Config Rules | 리소스 설정 변경 및 규정 준수 상태를 시간의 흐름에 따라 추적 |
| CloudWatch Logs | 애플리케이션 로그 등 포괄적인 데이터를 저장하고 모니터링 |
| VPC Flow Logs | VPC 내부의 IP 트래픽(In/Out) 검토 |
| ELB Access Logs | 로드 밸런서로 들어오는 요청의 메타데이터(출발지 IP, 경로 등)를 기록 |
| CloudFront Logs | CDN(웹 배포)에 대한 액세스 로그를 제공 |
| WAF Logs | WAF(웹 방화벽)이 분석한 모든 요청에 대한 상세 로그를 제공 |
1-2. 로그 관리
1). 저장 및 분석
- 저장: 대부분의 로그는 S3 버킷에 중앙 집중식으로 저장할 수 있음
- 분석: AWS Athena를 사용하면 S3에 저장된 로그 파일을 즉시 SQL 쿼리로 탐색하고 분석할 수 있음
2). 보안 및 장기 보관
- 보안: S3에 저장된 로그는 반드시 암호화해야 함. 또한 IAM 및 버킷 정책, MFA를 통해 버킷 접근을 엄격하게 제어해야 함.
- 장기 보관: 규정 준수를 위해 로그를 매우 오랫동안 보관해야 할 경우, 비용 절감을 위해 Amazon Glacier로 이동시킴.
- 불변성: Glacier Vault Lock 기능을 사용하면, 규정된 보존 기간 동안 누구도 로그를 수정하거나 삭제할 수 없도록 잠글 수 있음.