AWS용어 쉽게 이해하기: AWS Security Hub 및 관련 서비스

출처: https://www.stormit.cloud/blog/aws-security-hub/

AWS Security Hub는 여러 AWS 보안 서비스(GuardDuty, Inspector, Macie 등)의 보안 결과를 한 곳에 통합하여 중앙에서 관리하고 모니터링할 수 있는 서비스입니다. Security Hub를 통해 GuardDuty가 탐지한 위협을 다른 서비스의 결과와 함께 종합적으로 분석하고 대응할 수 있습니다.

1. Amazon GuardDuty
   • Amazon GuardDuty는 AWS의 관리형 서비스로, AWS 계정, 워크로드, 데이터를 외부 위협으로부터 보호하는 지능형 위협 탐지 서비스입니다. VPC 흐름 로그, DNS 로그, AWS CloudTrail 이벤트 및 S3 Data 이벤트와 같은 다양한 AWS 데이터 소스를 지속적으로 모니터링하고 분석하여 잠재적인 악성 활동이나 무단 행동을 식별합니다.
   • Amazon GuardDuty는 기본적으로 제공하는 위협탐지 기능 이외에 맬웨어 탐지 기능을 추가로 제공합니다. 가상자원 내의 악성코드를 자동으로 탐지하는 기능인 Malware Protection을 제공하므로 해당 서비스를 활성화하여 가상자원 내 악성코드를 탐지하여 대응할 수 있습니다.
   • Amazon GuardDuty는 머신 러닝과 위협 인텔리전스(알려진 악성 IP 주소 및 도메인 목록)를 사용하여 AWS 환경에서 발생할 수 있는 비정상적이거나 악의적인 활동을 탐지합니다. 예를 들어, 무단 인프라 배포, 악성 IP 주소와의 통신, 데이터 탈취 시도, 암호화폐 채굴 행위 등을 감지할 수 있습니다. 위협이 탐지되면, GuardDuty는 보안 문제의 심각도에 따라 우선순위가 지정된 상세한 결과를 제공합니다.
2. Amazon Inspector
   • Amazon Inspector는 EC2 인스턴스, ECR(Elastic Container Registry) 컨테이너 이미지, Lambda 함수 코드의 소프트웨어 취약점 및 의도치 않은 네트워크 노출을 자동으로 스캔하여 잠재적인 보안 위험을 식별하는 서비스입니다. GuardDuty가 외부로부터의 잠재적인 위협을 탐지하는 반면, Inspector는 내부의 취약점을 찾아내는데 초점을 맞춥니다.
3. Amazon Macie
   • Amazon Macie(메이시)는 S3 버킷에 저장된 데이터에서 개인 식별 정보(PII)와 같은 민감한 데이터를 찾아내고 보호하는 데 특화된 서비스입니다. Macie는 머신 러닝을 사용하여 데이터를 분류하고, 민감한 데이터가 외부에 노출될 위험이 있는지 탐지합니다. GuardDuty가 악의적인 활동을 탐지한다면, Macie는 데이터 자체의 민감성을 관리하는 데 중점을 둡니다.
4. IAM Access Analyzer
   • IAM Access Analyzer는 AWS 리소스에 대한 외부 액세스를 식별하여 보안 위협을 방지하는 서비스입니다. AWS IAM(Identity and Access Management)의 한 기능으로, S3 버킷, IAM 역할, Lambda 함수, KMS 키 등과 같은 리소스 정책을 지속적으로 분석하여 외부 엔티티(다른 AWS 계정, 외부 IP 주소 등)가 의도치 않게 리소스에 접근할 수 있는지 자동으로 확인합니다.