AWS 환경에서의 정보 보안 및 이벤트 관리 시스템 구현
IT 인프라 운영에 있어 정보 보안은 항상 주목받아왔다. 이는 온프레미스 환경 뿐 아니라 클라우드 환경에서도 마찬가지이다. 한편 정보 보안 환경과 정책을 구성하는 것은 번거롭고 많은 비용이 발생한다. 정보 보안과 비용 및 편의성은 반비례하기 때문이다. 허나 정보 보안은 IT 인프라 운영에서 빼놓을 수 없는 중요한 영역으로 절대 간과할 수 없다. 이 글에서는 AWS 환경에서의 정보 보안 서비스를 리뷰하고 AWS 매니지드 서비스를 활용한 SIEM (Security Information Event Management) 시스템 구현 방안에 대해 다룬다.
SIEM based on Gateway LoadBalancer & Virtual Appliance
AWS에서 SIEM을 구현하는 방법은 크게 인프라를 활용한 방안, 매니지드 서비스를 활용안 방안 두 가지로 나뉜다. 먼저 직접 인프라를 프로비저닝하여 SIEM을 구현하는 방안에 대해 다뤄보자. 인프라를 프로비저닝하여 SIEM을 구축하는 경우 GWLB (Gateway LoadBalancer)와 AWS Marketplace를 통해 제공되는 SIEM 솔루션을 사용하는 것이 일반적이다.
Gateway LoadBalancer
Gateway LoadBalancer는 OSI 3 Layer : 네트워크 계층에서 작동하는 로드밸런서다. GWLB는 모든 포트로부터 모든 IP 패킷을 수신하고, 리스너 규칙에 지정된 대상 그룹으로 트래픽을 전달한다. 트래픽 전달이 있어서는 3-Tuple, 5-Tuple를 통해 특정 대상 어플라이언스와의 플로우 연결을 유지하며, GWLB에 등록된 어플라이언스 인스턴스는 GateEVE 프로토콜을 통해 6081번 포트로 트래픽을 연결한다. GWLB를 사용하면 방화벽, 침입 탐지 및 방지 시스템, 심층 패킷 검사 등의 시스템 등의 가상 어플라이언스를 쉽게 연결할 수 있다.
AWS Marketplace
한편 이러한 가상 어플라이언스는 AWS Marketplace를 통해 손쉽게 구성할 수 있다. AWS Marketplace를 통해 가상 어플라이언스를 도입하면, 인프라 프로비저닝 및 어플라이언스 라이선스 비용을 한 번에 해결할 수 있다. Marketpalce를 통해 구매한 가상 어플라이언스는 사용 시간에 따른 인프라 비용 및 라이선스 비용이 합산된 형태이기 때문이다. AWS Marketplace를 통해 제공되는 대표적인 가상 SIEM 어플라이언스로는 IBM Security, Splunk, sumo logic 등이 있다.
아래 구성도는 GWLB를 통해 SIEM을 구현한 사례이다. 이는 TGW (Transit Gateway)와 GWLB가 함께 사용된 사례로, 멀티 어카운트의 멀티 VPC 환경을 위한 통합 보안존을 구성하여 해당 보안존에 FW, IPS, WAF 및 SIEM을 구축하였다. 이처럼 GWLB와 AWS marketplace를 활용하면 보다 손쉽게 가상 보안 어플라이언스를 구성 및 프로비저닝할 수 있다.
허나 이러한 GWLB 및 AWS marketplace를 통한 SIEM도 프로비저닝된 인프라를 통해 구현된 것이기에 관리가 필요하다. 이러한 관리 포인트를 줄이는 방안으로 AWS 매니지드 서비스를 통해 SIEM을 구현하는 방안 또한 존재한다.
SIEM based on AWS Managed Services
AWS에는 CloudTrail, IAM, Macie, Detective, GuardDuty, Security Hub, Inspector 등 다양한 정보 보안 관련 매니지드 서비스가 존재한다. 이 글에서는 이런 개별 서비스에 대한 소개는 하지 않는다. (개별 서비스에 대해 궁금한 경우 아래 글을 통해 보안 관련 일부 서비스를 확인할 수 있다.) 이 글에서는 이러한 정보 보안과 관련된 AWS 매니지드 서비스를 통해 AWS 상에서 인프라 프로비저닝 없이 SIEM을 구현하는 방안에 대해 주력 소개한다.
아래 구성도는 AWS 매니지드 서비스를 통한 SIEM 구현 사례를 보여준다. 보안과 관련된 이벤트 수집에는 Amazon GuardDuty, Amazon Detective, Amazon Macie가 사용됐다. GuardDuty, Detective, Maice를 통해 VPC 플로우 로그, DNS 쿼리 로그, CloudTrail 로그, S3 버킷 속 개인 정보 저장 내역을 수집하고, Security Hub 통합 대시보드를 통해 확인한다. 여기에 EventBridge와 Lambda를 결합하여 보안 이벤트에 대한 자동화 대응 방안도 구성하였다. 이 과정에서 EventBridge 알림이 발생하면 그 즉시 Amazon SNS를 통해 Email 알림을 받을 수 있도록 설정했다. 이 외에도 Amazon Inspector를 통해 AWS 워크로드 내 소프트웨어 취약점과 의도치 않은 네트워크 노출을 스캔 및 통합하고 있다.
위와 같이 AWS 매니지드 서비스를 통해 SIEM을 구현하면 GWLB 및 가상 어플라이언스를 통한 SIEM 구현 방안과 달리 인프라 프로비저닝이 필요하지 않다. 더불어 다양한 AWS 서비스와 연계하여 자동화된 이벤트 대응 방안 또한 구현 가능하기에 보다 즉각적인 보안 이벤트 대응이 가능해진다.
지금까지 AWS 상에서의 SIEM 구현 방안에 대해 알아보았다. AWS 환경에 대한 매니지먼트, 거버넌스와 더불어 정보 보안이 관심받는 현재, 다양한 AWS 서비스를 활용하여 각 기업의 워크로드에 맞는 정보 보안 환경을 구성하길 바란다. 마지막으로 이 글이 기업의 SIEM 구현 전략 수립에 도움이 되었기를 바라며 이만 글을 마친다.
SAINTPARK
Next Article