Trend Micro Deep Security와 Amazon Security Lake 연동 방안

시작하며

AWS에서는 여러 보안 서비스를 제공하고 있습니다.

이번에 AWS에서 Amazon Security Lake(이하 ASL)라는 보안 서비스를 선보였으며, 해당 서비스는 기존 AWS 네이티브 보안 서비스의 로그를 SIEM처럼 한 곳에 모아주는 역할을 합니다.

또한 ASL은 OCSF(Open Cybersecurity Schema Framework)라는 포맷을 만들어서 해당 포맷을 지원하는 ISV 솔루션에서도 ASL에 보안 이벤트를 저장 할 수 있도록 하였습니다.

* ASL에 대한 내용은 여기로
* OCSF포맷에 대한 내용은 여기로

ASL을 지원하는 ISV는?

AWS에서는 OCSF를 지원하며, AWS의 공인 인증을 받은 ISV 솔루션을 소스 파트너로 분류하고 ASL 정보 페이지에 공개를 하고 있습니다.

* ASL 파트너 정보는 여기로

Trend Micro

트렌드 마이크로 역시 소스 파트너로 등록되어 있어 ASL과 연동이 가능 합니다.
하지만 몇 가지 제약 사항이 있습니다.

[제약사항]
1. Trend Micro Cloud One에서 지원 (Deep Security 미지원)

2. Cloud One과 ASL을 연동하기 위한 선행 조건으로 Trend Micro Vision One과 연동을 해야 합니다.

3. ASL과 연동 시 전송하는 보안 이벤트는 아래와 같습니다.
1) DNS Query activity
2) File activity
3) Network activity
4) Process activity
5) Registry Value activity
6) User Account activity

4. Trend Micro에서 지원하는 AWS Region은 아래와 같습니다.

일단 국내 시장은 아직 SaaS형 서비스인 Cloud One보다는 구축형인 Deep Security를 선호하고 실제로 많이 사용하고 있습니다. 여러 보안 솔루션과 연동을 편하게 하기 위한 ASL의 원래 목적과 달리 Cloud One을 사용하기 위해서는 Vison One을 추가로 도입해야 하는 문제가 있습니다.

그리고 더 큰 문제는 Anti-Malware, IPS 등 보안 이벤트는 ASL로 보내지 않는 것 입니다.
정확히는 Cloud One의 Workload Security기능은 연동 대상이 아닙니다.
또한 지원하는 Region도 제한적입니다.

Trend Micro Cloud One의 보안 서비스

다른 방안은?

Cloud One을 사용한다는 전제하에 Cloud One과 AWS Security Hub를 연동하고 AWS Security Hub와 ASL을 연동하는 방안을 생각 할 수 있습니다.
* (연동 정보)

AWS Security Hub 연동 화면

하지만 이 역시 제약 사항이 존재 합니다.

[제약사항]

1. Security Hub와 연동 기능은 정식 기능이 아닌 프리뷰 기능으로 Container Security의 보안이벤트만 전송합니다.

국내에서 많이 사용하시는 Deep Security는 Cloud One에서는 Workload Security로 서비스 되고 있으며, Container Security는 별개의 보안 솔루션이기 때문에 Container Security를 사용하는 고객사만 위 방법이 가능합니다.

그리고 정식 기능이 아닌 것도 리스크가 큰 제약사항 입니다.

해결 방법은?

ISV 솔루션 중 이벤트 스트리밍 솔루션이 있습니다.
그리고 ASL 소스 파트너 인증을 받은 이벤트 스트리밍 솔루션으로 Cribl이 있습니다.

Cribl 기능 소개

해당 솔루션을 통해서 Deep Security와 같이 OCSF 를 지원하지 않는 솔루션의 보안이벤트도 OCSF 형식으로 ASL에 전송이 가능 합니다.
* Cribl정보

연동 순서는

1. Deep Security Syslog -> Cribl Stream 연동

2. Cribl Stream -> ASL 연동 이렇게 진행됩니다.

위 방법을 통해서 Deep Security 뿐만 아니라 다른 OCSF 미지원 솔루션도
ASL과 연동이 가능 합니다.

마치며

AWS에서 보안은 계속 중요해지는 분야 입니다.

매년 AWS re:Inforce를 통해서 새로운 서비스와 강화된 보안에 대한 이야기가 끊이지 않는 것도 클라우드의 보안이 갖는 중요함을 대변하는 것이 아닐까 생각합니다. ASL을 통해서 한층 강해진 AWS의 보안 서비스를 더욱 편리하게 이용할 수 있는 방법을 확인해 보시면 좋겠습니다.