기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS IoT 환경의 보안 이벤트에 대한 로깅 및 모니터링 구성
작성자: Prateek Prakash(AWS)
요약
특히 조직에서 IT 환경에 수십억 개의 장치를 연결하고 있기 때문에 사물 인터넷(IoT) 환경의 보안을 보장하는 것이 중요한 우선 순위입니다. 이 패턴은의 IoT 환경 전체에서 보안 이벤트에 대한 로깅 및 모니터링을 구현하는 데 사용할 수 있는 참조 아키텍처를 제공합니다 AWS 클라우드. 일반적으로의 IoT 환경에 AWS 클라우드 는 다음과 같은 세 가지 계층이 있습니다.
관련 텔레메트리 데이터를 생성하는 IoT 디바이스.
AWS IoT IoT 디바이스를 다른 디바이스 및에 연결하는 서비스(예: AWS IoT CoreAWS IoT Device Management, 또는 AWS IoT Device Defender)입니다 AWS 서비스.
원격 측정 데이터를 AWS 서비스 처리하고 다양한 비즈니스 사용 사례에 유용한 인사이트를 제공하는 백엔드입니다.
AWS IoT Lens - AWS Well-Architected Framework 백서에서 제공하는 모범 사례는 클라우드 기반 아키텍처를 검토 및 개선하고 설계 결정의 비즈니스 영향을 더 잘 이해하는 데 도움이 될 수 있습니다. 중요한 권장 사항은 디바이스 및에서 애플리케이션 로그와 지표를 분석하는 것입니다 AWS 클라우드. 다양한 접근 방식과 기법(예: 위협 모델링
이 패턴은 AWS IoT 및 보안 서비스를 사용하여의 IoT 환경에 대한 보안 로깅 및 모니터링 참조 아키텍처를 설계하고 구현하는 방법을 설명합니다 AWS 클라우드. 이 아키텍처는 기존 AWS 보안 모범 사례를 기반으로 하며 이를 IoT 환경에 적용합니다.
사전 조건 및 제한 사항
사전 조건
기존 랜딩 존 환경. 이에 대한 자세한 내용은 AWS 규범적 지침 웹 사이트의 안전하고 확장 가능한 다중 계정 AWS 환경 설정 가이드를 참조하세요.
랜딩 존에서 다음 계정을 사용할 수 있어야 합니다.
로그 아카이브 계정-이 계정은 랜딩 영역의 조직 단위(OU) 계정에 대한 로깅 정보에 액세스해야 하는 사용자를 위한 것입니다. 이에 대한 자세한 내용은 AWS 규범적 지침 웹 사이트의 보안 참조 아키텍처 가이드의 보안 OU – 로그 아카이브 계정 섹션을 참조하세요. AWS
보안 계정-보안 및 규정 준수 팀은 이 계정을 감사하거나 긴급 보안 작업을 수행하는 데 사용합니다. 이 계정은 Amazon GuardDuty의 관리자 계정으로도 지정됩니다. 관리자 계정의 사용자는 자신의 계정과 모든 멤버 계정에 대한 GuardDuty 결과를 보고 관리할 수 있을 뿐만 아니라 GuardDuty를 구성할 수 있습니다. 이에 대한 자세한 내용은 GuardDuty 설명서의 GuardDuty에서 여러 계정 관리를 참조하세요. GuardDuty
IoT 계정-이 계정은 IoT 환경을 위한 것입니다.
아키텍처
이 패턴은 AWS 솔루션 라이브러리에서 중앙 집중식 로깅 솔루션을
다음 아키텍처 다이어그램은에서 IoT 보안 로깅 및 참조 아키텍처의 주요 구성 요소를 보여줍니다 AWS 클라우드.
이 다이어그램은 다음 워크플로를 보여줍니다.
IoT는 비정상적인 보안 이벤트가 있는지 모니터링해야 하는 장치입니다. 이러한 디바이스는 에이전트를 실행하여 보안 이벤트 또는 지표를 AWS IoT Core 및에 게시합니다 AWS IoT Device Defender.
AWS IoT 로깅이 활성화되면는 메시지 브로커 및 규칙 엔진을 통해 디바이스에서 Amazon CloudWatch Logs로 전달되는 각 메시지에 대한 진행 이벤트를 AWS IoT 보냅니다. CloudWatch Logs 구독을 사용하여 중앙 집중식 로깅 솔루션으로 이벤트를 푸시할 수 있습니다. 이에 대한 자세한 내용은 AWS IoT Core 설명서의 AWS IoT 지표 및 차원을 참조하세요.
AWS IoT Device Defender 는 IoT 디바이스에 대한 안전하지 않은 구성 및 보안 지표를 모니터링하는 데 도움이 됩니다. 이상이 감지되면 경보는 Amazon Simple Notification Service(Amazon SNS)에 알립니다.이 서비스에는 구독자 AWS Lambda 함수가 있습니다. Lambda 함수는 경보를 메시지로 CloudWatch Logs에 전송합니다. CloudWatch Logs 구독을 사용하여 중앙 로깅 솔루션으로 이벤트를 푸시할 수 있습니다. 이에 대한 자세한 내용은 AWS IoT Core 설명서의 감사 검사, CloudWatch에 디바이스 측 로그 업로드 및 AWS IoT 로깅 구성을 참조하세요.
AWS CloudTrail 는 변경을 수행하는 AWS IoT Core 컨트롤 플레인 작업(예: APIs 생성, 업데이트 또는 연결)을 기록합니다. CloudTrail이 랜딩 존 구현의 일부로 설정된 경우 CloudWatch Logs로 이벤트를 전송합니다. 구독을 사용하여 이벤트를 중앙 집중식 로깅 솔루션으로 푸시할 수 있습니다.
AWS Config 관리형 규칙 또는 사용자 지정 규칙은 IoT 환경의 일부인 리소스를 평가합니다. CloudWatch Logs를 대상으로 하는 CloudWatch 이벤트를 사용하여 규정 준수 변경 알림을 모니터링합니다. 규정 준수 변경 알림이 CloudWatch Logs로 전송된 후 구독을 사용하여 중앙 집중식 로깅 솔루션으로 이벤트를 푸시할 수 있습니다.
Amazon GuardDuty는 CloudTrail 관리 이벤트를 지속적으로 분석하고 알려진 악성 IP 주소, 비정상적인 지리적 위치 또는 익명화 프록시에서 AWS IoT Core 엔드포인트에 대한 API 호출을 식별하는 데 도움이 됩니다. CloudWatch Logs의 로그 그룹을 대상으로 하는 CloudWatch Events를 사용하여 GuardDuty 알림을 모니터링합니다. GuardDuty 알림이 CloudWatch Logs로 전송되면 구독을 사용하여 중앙 모니터링 솔루션으로 이벤트를 푸시하거나 보안 계정의 GuardDuty 콘솔을 사용하여 알림을 볼 수 있습니다.
AWS Security Hub 는 보안 모범 사례를 사용하여 IoT 계정을 모니터링합니다. CloudWatch Logs의 로그 그룹을 대상으로 하는 CloudWatch Events를 사용하여 Security Hub 알림을 모니터링합니다. Security Hub 알림이 CloudWatch Logs로 전송되면 구독을 사용하여 중앙 모니터링 솔루션으로 이벤트를 푸시하거나 보안 계정의 Security Hub 콘솔을 사용하여 알림을 확인합니다.
Amazon Detective는 정보를 평가 및 분석하여 근본 원인을 격리하고 IoT 아키텍처의 AWS IoT 엔드포인트 또는 기타 서비스에 대한 비정상적인 호출에 대해 보안 결과에 대한 조치를 취합니다.
Amazon Athena는 Log Archive 계정에 저장된 로그를 쿼리하여 보안 탐지 결과에 대한 이해를 높이고 동향과 악의적인 활동을 식별합니다.
도구
Amazon Athena는표준 SQL을 사용하여 Amazon Simple Storage Service(S3)에 있는 데이터를 직접 간편하게 분석할 수 있는 대화형 쿼리 서비스입니다.
AWS CloudTrail는에 대한 거버넌스, 규정 준수, 운영 및 위험 감사를 지원합니다 AWS 계정.
Amazon CloudWatch는 AWS 리소스와 실행 중인 애플리케이션을 AWS 실시간으로 모니터링합니다. CloudWatch를 사용하여 리소스 및 애플리케이션에 대해 측정할 수 있는 변수인 지표를 수집하고 추적할 수 있습니다.
Amazon CloudWatch Logs는 사용하는 모든 시스템, 애플리케이션 및의 로그 AWS 서비스 를 중앙 집중화합니다. 그런 다음 로그를 보고, 특정 오류 코드 또는 패턴이 있는지 검색하고, 특정 필드를 기반으로 필터링하거나, 향후 분석을 위해 안전하게 보관할 수 있습니다.
AWS Config는의 AWS 리소스 구성에 대한 세부 보기를 제공합니다 AWS 계정.
Amazon Detective는 사용자가 보안 조사 결과 또는 의심스러운 활동의 근본 원인을 쉽게 분석 및 조사하고 신속하게 식별할 수 있게 합니다.
AWS Glue는 데이터를 분류하고, 정리하고, 보강하고, 다양한 데이터 스토어와 데이터 스트림 간에 안정적으로 이동할 수 있는 완전 관리형 ETL(추출, 변환 및 로드) 서비스입니다.
Amazon GuardDuty는 지속적 보안 모니터링 서비스입니다.
AWS IoT Core는 MQTT, HTTPS 및 LoRaWAN을 AWS 클라우드 통해에 연결하기 위해 인터넷 연결 디바이스(예: 센서, 액추에이터, 임베디드 디바이스, 무선 디바이스 및 스마트 어플라이언스)에 대한 안전한 양방향 통신을 제공합니다.
AWS IoT Device Defender는 디바이스의 구성을 감사하고, 연결된 디바이스를 모니터링하여 비정상적인 동작을 감지하고 보안 위험을 완화할 수 있는 보안 서비스입니다.
Amazon OpenSearch Service는에서 OpenSearch 클러스터를 쉽게 배포, 운영 및 확장할 수 있는 관리형 서비스입니다 AWS 클라우드.
AWS Organizations는 여러를 생성하여 중앙에서 관리하는 조직 AWS 계정 으로 통합할 수 있는 계정 관리 서비스입니다.
AWS Security Hub는에서 보안 상태를 포괄적으로 볼 수 AWS 있으며 보안 업계 표준 및 모범 사례를 기준으로 환경을 확인하는 데 도움이 됩니다.
Amazon Virtual Private Cloud(Amazon VPC)는 정의한 가상 네트워크에서 AWS 리소스를 시작할 수 AWS 클라우드 있는의 논리적으로 격리된 섹션을 프로비저닝합니다. 이 가상 네트워크는 AWS의 확장 가능한 인프라를 사용한다는 이점과 함께 고객의 자체 데이터 센터에서 운영하는 기존 네트워크와 매우 유사합니다.
에픽
| 작업 | 설명 | 필요한 기술 |
|---|---|---|
IoT 계정의 보안 가드레일을 검증합니다. | IoT 계정에서 CloudTrail, AWS Config, GuardDuty 및 Security Hub에 대한 가드레일이 활성화되어 있는지 확인합니다. | 관리자 |
IoT 계정이 보안 계정의 멤버 계정으로 구성되어 있는지 확인합니다. | IoT 계정이 보안 계정에서 GuardDuty 및 Security Hub의 멤버 계정으로 구성되고 연결되어 있는지 확인합니다. 이에 대한 자세한 내용은 GuardDuty 설명서의 로 GuardDuty 계정 관리 AWS Organizations 및 Security Hub 설명서의 관리자 및 멤버 계정 관리를 참조하세요. GuardDuty | 관리자 |
로그 아카이빙을 검증합니다. | CloudTrail AWS Config및 VPC 흐름 로그가 로그 아카이브 계정에 저장되어 있는지 확인합니다. | 관리자 |
| 작업 | 설명 | 필요한 기술 |
|---|---|---|
보안 계정에서 중앙 집중식 로깅 솔루션을 설정합니다. | 보안 계정의 AWS Management Console 에 로그인하고 AWS 솔루션 라이브러리에서 중앙 집중식 로깅 솔루션을 이에 대한 자세한 내용은 AWS 솔루션 라이브러리의 중앙 집중식 로깅 구현 가이드에서 중앙 집중식 로깅 솔루션을 사용하여 단일 대시보드에서 Amazon CloudWatch Logs 수집, 분석 및 표시를 참조하세요. | 관리자 |
| 작업 | 설명 | 필요한 기술 |
|---|---|---|
AWS IoT 로깅을 설정합니다. | IoT 계정의 AWS Management Console 에 로그인합니다. CloudWatch Logs AWS IoT Core 로 로그를 전송하도록를 설정하고 구성합니다. 이에 대한 자세한 내용은 AWS IoT Core 설명서의 AWS IoT 로깅 구성 및 CloudWatch Logs를 AWS IoT 사용하여 모니터링을 참조하세요. | 관리자 |
를 설정합니다 AWS IoT Device Defender. | IoT 리소스를 감사하고 이상을 감지 AWS IoT Device Defender 하도록를 설정합니다. 이에 대한 자세한 내용은 AWS IoT Core 설명서의 시작하기 AWS IoT Device Defender를 참조하세요. | 관리자 |
CloudTrail 설정 | CloudWatch Logs로 이벤트를 전송하도록 CloudTrail을 설정합니다. 이에 대한 자세한 내용은 CloudTrail 설명서의 CloudWatch Logs로 이벤트 전송을 참조하세요. CloudTrail | 관리자 |
AWS Config 및 AWS Config 규칙을 설정합니다. | AWS Config 및 필수 AWS Config 규칙을 설정합니다. 이에 대한 자세한 내용은 AWS Config 설명서의 콘솔 AWS Config 로 설정 및 AWS Config 규칙 추가를 참조하세요. | 관리자 |
GuardDuty 설정. | GuardDuty가 CloudWatch Logs의 로그 그룹을 대상으로 하여 Amazon CloudWatch Events에 결과를 전송하도록 설정하고 구성합니다. 이에 대한 자세한 내용은 GuardDuty 설명서의 Amazon CloudWatch Events를 사용하여 GuardDuty 결과에 대한 사용자 지정 응답 생성을 참조하세요. GuardDuty | 관리자 |
Security Hub 설정. | Security Hub를 설정하고 CIS AWS 파운데이션 벤치마크 및 AWS 기본 보안 모범 사례 표준을 활성화합니다. 이에 대한 자세한 내용은 Security Hub 설명서의 자동 응답 및 문제 해결을 참조하세요. | 관리자 |
Amazon Detective 설정 | 보안 조사 결과를 쉽게 분석할 수 있도록 Detective를 설정합니다. 이에 대한 자세한 내용은 Amazon Detective 설명서의 Amazon Detective 시작하기를 참조하세요. | 관리자 |
Amazon Athena 및를 설정합니다 AWS Glue. | 보안 인시던트 조사를 수행하는 AWS 서비스 로그를 쿼리 AWS Glue 하려면 Athena 및를 설정합니다. 이에 대한 자세한 내용은 Amazon Athena 설명서의 AWS 서비스 로그 쿼리를 참조하세요. | 관리자 |
관련 리소스
