Amazon Security Lake 기능

Amazon Security Lake는 AWS 환경, SaaS 공급자, 온프레미스 및 클라우드 소스의 보안 데이터를 계정에 저장된 목적별 데이터 레이크로 자동으로 중앙 집중화합니다. Security Lake를 사용하면 보안 데이터를 더 쉽게 분석하고, 전체 조직의 보안을 보다 포괄적으로 이해하며, 워크로드, 애플리케이션 및 데이터의 보호를 개선할 수 있습니다. Security Lake는 여러 계정 및 AWS 리전에 걸친 보안 데이터 수집 및 관리를 자동화하므로 보안 데이터에 대한 제어 및 소유권을 유지하면서 선호하는 분석 도구를 사용할 수 있습니다. Security Lake는 개방형 표준인 Open Cybersecurity Schema Framework(OCSF)를 채택했습니다. OCSF를 지원하므로 AWS 및 광범위한 엔터프라이즈 보안 데이터 소스의 보안 데이터가 정규화되고 결합됩니다. Security Lake를 사용하면 분석가와 보안 엔지니어 팀이 광범위한 가시성을 확보하여 보안 이벤트를 조사 후 이에 대응하고, 적시 대응을 촉진하며, 멀티클라우드 및 하이브리드 환경에서 보안을 개선할 수 있습니다.

페이지 주제

일반
8

일반

Amazon Security Lake는 특별히 구축된 보안 데이터 레이크를 소유자의 계정 안에 생성합니다. Security Lake는 모든 계정과 리전의 클라우드, 온프레미스, 사용자 지정 데이터 소스에서 로그와 이벤트 데이터를 수집합니다. 수집된 로그는 Amazon Simple Storage Service(S3) 버킷에 저장되기 때문에 계정 소유자가 데이터를 완벽하게 제어하고 소유할 수 있습니다.

Security Lake는 다음 서비스에 대한 로그를 자동으로 수집합니다.

  • AWS CloudTrail
  • Amazon Virtual Private Cloud(VPC)
  • Amazon Route 53
  • Amazon Simple Storage Service(S3)
  • AWS Lambda
  • Amazon Elastic Kubernetes Service(EKS)
  • AWS 웹 애플리케이션 방화벽(WAF)

또한 다음 서비스에서 발생하는 조사 결과를 포함하여 AWS Security Hub에서 조사 결과를 수집합니다. 

  • AWS Config
  • AWS Firewall Manager
  • Amazon GuardDuty
  • AWS Health
  • AWS Identity and Access Management(IAM) Access Analyzer
  • Amazon Inspector
  • Amazon Macie
  • AWS Systems Manager Patch Manager

Security Lake는 AWS 로그 및 보안 조사 결과를 OCSF로 자동으로 정규화합니다. 서드 파티 보안 솔루션의 데이터, 다른 클라우드 소스의 데이터 및 사용자 지정 데이터(예: OCSF 형식으로 변환한 내부 애플리케이션 또는 네트워크 인프라의 로그)를 추가할 수 있습니다. OCSF가 지원되므로 데이터를 중앙 집중화하고, 변환하고, 원하는 분석 도구에 보안 데이터를 제공할 수 있습니다.

서비스를 사용할 수 있는 여러 리전과 다수의 AWS 계정에 걸쳐 Security Lake를 활성화할 수 있습니다. 리전별로 여러 계정에서 보안 데이터를 집계하거나, 여러 리전의 보안 데이터를 롤업 리전으로 통합할 수 있습니다. Security Lake 롤업 리전은 리전의 규정 준수 요구 사항을 준수하는 데 도움을 줄 수 있습니다.

Security Lake는 보안 및 분석 도구의 데이터 레이크 액세스 권한 설정을 간소화하는 데 도움이 됩니다. 예를 들어 CloudTrail과 같은 지정된 소스에서 데이터 세트로의 액세스 권한만 부여하도록 선택할 수 있습니다. 사용할 수 있는 액세스 모드는 2가지입니다. 데이터 액세스 모드를 사용하면 데이터 레이크에 새 객체가 기록될 때 알림이 생성됩니다. 쿼리 액세스 모드를 사용하면 도구에서 보안 데이터 레이크에 저장된 데이터를 쿼리할 수 있습니다.

Security Lake는 사용자 지정 가능한 보존 설정을 사용해 데이터의 수명 주기를 관리하며, 자동 스토리지 계층화를 통해 스토리지 비용을 관리합니다. Security Lake는 수신되는 보안 데이터를 자동으로 분할하고 저장 및 쿼리에 효율적인 Apache Parque 형식으로 변환합니다. Security Lake는 AWS Glue 카탈로그에서 Apache Iceberg 테이블을 지원하므로 분석 도구를 손쉽게 전환하여 향상된 성능으로 쿼리를 실행할 수 있습니다.

AWS AppFabric은 SaaS 애플리케이션 감사 로그를 OCSF 형식으로 자동으로 정규화하고 정규화된 OCSF데이터를 Security Lake로 전송합니다. Security Lake와 AppFabric을 함께 사용하면 주요 데이터 소스 전반에서 보안 데이터를 손쉽게 집계하고 정규화하며 시각화할 수 있습니다. AppFabric과 Security Lake의 통합에는 데이터 정규화 또는 데이터 모으기와 관련된 요금이 없습니다. 표준 AppFabric 요금이 적용됩니다.

Amazon OpenSearch Service는 대화형 로그 분석과 실시간 애플리케이션 모니터링을 더 쉽게 수행할 수 있도록 하며, 이제 Security Lake와 원활하게 통합됩니다. 이를 통해 조직은 보안 데이터를 효율적으로 검색 및 분석하고 보안 데이터에서 실행 가능한 인사이트를 얻을 수 있으므로 복잡한 데이터 엔지니어링 요구 사항을 간소화하고 보안 데이터의 잠재력을 최대한 활용할 수 있습니다.  이 통합의 주요 이점으로는 모든 Security Lake 데이터에 대한 포괄적인 가시성과 액세스, 더 빠른 보안 가치, 간소화된 구성이 있습니다. 또한 이러한 통합은 비용 관리를 개선할 수 있는 잠재력을 제공합니다. Security Lake 데이터의 직접 쿼리와 같은 기능은 데이터 중복을 방지하는 데 도움이 될 수 있습니다. 또한 이 통합은 고급 분석을 위한 선택된 데이터 세트의 온디맨드 인덱싱과 OCSF(Open Cybersecurity Schema Framework)를 사용한 사전 구축된 쿼리와 대시보드를 제공합니다. 조직은 이러한 통합을 활용하여 OpenSearch Service의 분석 및 시각화 기능으로 심층 조사를 수행하고, 위협 헌팅을 강화하고, 보안 태세를 사전 예방적으로 모니터링하는 동시에 비용을 잠재적으로 절감할 수 있습니다.