탐지
탐지는 예기치 않거나 원치 않는 구성 변경 탐지와 예기치 않은 동작 탐지와 같은 두 부분으로 구성됩니다. 첫 번째 탐지는 애플리케이션 전달 수명 주기의 여러 위치에서 발생할 수 있습니다. 코드형 인프라(예: CloudFormation 템플릿)를 사용하면 CI/CD 파이프라인 또는 소스 제어에 검사를 구현하여 워크로드를 배포하기 전에 원치 않는 구성을 검사할 수 있습니다. 그런 다음 비프로덕션 및 프로덕션 환경에 워크로드를 배포할 때 기본 AWS, 오픈 소스 또는 AWS 파트너 도구를 사용하여 구성을 검사할 수 있습니다. 이러한 검사는 보안 원칙 또는 모범 사례를 준수하지 않는 구성을 찾거나 테스트된 구성 및 배포된 구성 사이에서 수행된 변경 사항을 찾기 위해 수행할 수 있습니다. 실행 중인 애플리케이션에 대해 알려진 배포 또는 자동화된 규모 조정 이벤트 외에 구성이 원치 않는 방식으로 변경되었는지 검사할 수 있습니다.
두 번째 탐지에 해당하는 예기치 않은 동작의 경우 도구를 사용할 수 있습니다. 또는 특정 API 직접 호출 유형이 증가하면 알림을 받을 수 있습니다. Amazon GuardDuty를 사용하면 예기치 않은 잠재적인 무단 또는 악성 활동이 AWS 계정에서 발생하면 알림을 받을 수 있습니다. 또한 워크로드에서 사용되리라 예상되지 않는 API 직접 호출의 변경과 보안 태세를 변경하는 API 직접 호출을 명시적으로 모니터링해야 합니다.
탐지를 통해 잠재적인 보안 구성 오류, 위협 또는 예기치 않은 동작을 식별할 수 있습니다. 이것은 보안 수명 주기의 핵심 부분으로서 품질 프로세스, 법률 또는 규정 준수 의무, 위협 식별 및 대응 과정을 지원하는 데 사용됩니다. 탐지 메커니즘에는 여러 가지 유형이 있습니다. 예를 들어 워크로드 로그를 분석하여 사용 중인 악용 항목을 알아낼 수 있습니다. 워크로드와 관련된 탐지 메커니즘을 정기적으로 검토하여 사내외 정책과 요구 사항에 부합하는지 확인해야 합니다. 자동 알림은 팀이나 도구가 조사에 착수할 수 있도록 정의된 조건을 기반으로 설정해야 합니다. 이러한 메커니즘은 조직 내에서 변칙적 활동 범위를 식별하고 파악하는 데 도움이 되는 중요한 대응 요소입니다.
AWS에는 탐지 메커니즘을 다룰 때 사용할 수 있는 방식이 아주 많습니다. 다음 섹션에서는 이러한 접근 방식을 사용하는 방법을 설명합니다.