AWS용어 쉽게 이해하기: AWS Security Hub 및 관련 서비스

출처: https://www.stormit.cloud/blog/aws-security-hub/

AWS Security Hub는 여러 AWS 보안 서비스(GuardDuty, Inspector, Macie 등)의 보안 결과를 한 곳에 통합하여 중앙에서 관리하고 모니터링할 수 있는 서비스입니다. Security Hub를 통해 GuardDuty가 탐지한 위협을 다른 서비스의 결과와 함께 종합적으로 분석하고 대응할 수 있습니다.

1. Amazon GuardDuty
   • Amazon GuardDuty는 AWS의 관리형 서비스로, AWS 계정, 워크로드, 데이터를 위협으로부터 보호하는 지능형 위협 탐지 서비스입니다. VPC 흐름 로그, DNS 로그, AWS CloudTrail 이벤트와 같은 다양한 AWS 데이터 소스를 지속적으로 모니터링하고 분석하여 잠재적인 악성 활동이나 무단 행동을 식별합니다.
   • Amazon GuardDuty는 기본적으로 제공하는 위협탐지 기능 이외에 “맬웨어 탐지 기능”을 추가로 제공합니다. 가상자원 내의 악성코드를 자동으로 탐지하는 기능인 Malware Protection을 제공하므로 해당 서비스를 활성화하여 가상자원 내 악성코드를 탐지하여 대응할 수 있습니다.
   • Amazon GuardDuty는 머신 러닝과 위협 인텔리전스(알려진 악성 IP 주소 및 도메인 목록)를 사용하여 AWS 환경에서 발생할 수 있는 비정상적이거나 악의적인 활동을 탐지합니다. 예를 들어, 무단 인프라 배포, 악성 IP 주소와의 통신, 데이터 탈취 시도, 암호화폐 채굴 행위 등을 감지할 수 있습니다. 위협이 탐지되면, GuardDuty는 보안 문제의 심각도에 따라 우선순위가 지정된 상세한 결과를 제공합니다.
2. Amazon Inspector
   • Amazon Inspector는 EC2 인스턴스, ECR(Elastic Container Registry) 컨테이너 이미지, Lambda 함수 코드의 소프트웨어 취약점 및 의도치 않은 네트워크 노출을 자동으로 스캔하여 잠재적인 보안 위험을 식별하는 서비스입니다. GuardDuty가 외부로부터의 잠재적인 위협을 탐지하는 반면, Inspector는 내부의 취약점을 찾아내는데 초점을 맞춥니다.
3. Amazon Macie
   • Amazon Macie(메이시)는 S3 버킷에 저장된 데이터에서 **개인 식별 정보(PII)**와 같은 민감한 데이터를 찾아내고 보호하는 데 특화된 서비스입니다. Macie는 머신 러닝을 사용하여 데이터를 분류하고, 민감한 데이터가 외부에 노출될 위험이 있는지 탐지합니다. GuardDuty가 악의적인 활동을 탐지한다면, Macie는 데이터 자체의 민감성을 관리하는 데 중점을 둡니다.
4. IAM Access Analyzer
   • IAM Access Analyzer는 AWS 리소스에 대한 외부 액세스를 식별하여 보안 위협을 방지하는 서비스입니다. AWS IAM(Identity and Access Management)의 한 기능으로, S3 버킷, IAM 역할, Lambda 함수, KMS 키 등과 같은 리소스 정책을 지속적으로 분석하여 외부 엔티티(다른 AWS 계정, 외부 IP 주소 등)가 의도치 않게 리소스에 접근할 수 있는지 자동으로 확인합니다.