[aws] CloudWatch,CloudTrail,Config

안녕하세요. 최근 CloudNet@ AWS Security Study를 진행하며 해당 내용을 이해하고 공유하기 위해 작성한 글입니다. 해당 내용은 ‘쉽게 적용하는 AWS 보안 레시피’ 책과 AWS Docs 내용을 기반으로 했습니다.

SNS(Simple Notification Service)

• SNS는 메시지 전송 서비스 입니다.
• 메시지를 게시할 때 암호화 하기 위해 KMS에서 제공하는고객마스터키(CMK)를 사용합니다.

SNS 서비스 → 주제생성

• 유형 : 표준
• 이름 : yhshimsec
• 표시이름 : yhshimsec

SNS 서비스 → 구독생성

• 주제 : yhshimsec 선택
• 프로토콜 : 이메일 선택
• 엔드포인트 : SNS 알림을 수신할 이메일 주소 작성

SNS 서비스 → 주제 → yhshimsec → 구독자상태 : 확인 대기중

이메일 접속 → AWS 구독 확인 메일 수신 → 구독 확인

SNS 서비스 → 주제 → yhshimsec → 메시지 게시

• 제목 : hello
• 엔드포인트로 전송할 메시지 본문 : hello CloudNet-AWSSecurityStudy

이메일 확인 → 메시지 전달 성공 확인

CloudWatch

• CloudWatch를 사용하여 시스템 전반의 리소스 사용률, 애플리케이션 성능, 운영 상태를 파악할 수 있습니다.
• 시스템에 Agent를 설치하여 사용자 지정 지표를 생성하여 더 많은 지표를 수집 할 수 있습니다. (메모리, 디스크 사용량 등)
• 알람설정을 통한 특정기준치를 초과할 경우 SNS 서비스를 통해 담당자에게 메시지나 이메일을 보낼거나 Auto Scaling 서비스와 연동하여 인스턴스를 증설 할 수 있습니다.
• 수집된 지표를 management console 과 API를 통한 고객전용 모니터링 대시보드에 볼수 있습니다.

AWS Cloudwatch

CloudWatch 경보와 지표로 작업

CloudWatch → [왼쪽] 경보 → [오른쪽]경보생성 → 지표선택→ EC2 → 인스턴스별 지표 → 지표 및 조건 선택 → 다음

작업구성 → 기존 SNS 주제선택 → 다음으로 알림 전송 선택 → 다음

• 다음으로 알림 전송 선택 : yhshimsec

이름 및 설명 추가 → 경보이름, 경보설명 → 미리 보기 및 생성 → 경보생성

• 경보이름 : EC2 NETWORK ALERT
• 경보설명 : EC2 NETWORK ALERT

CloudWatch에서 대시보드 생성

CloudWatch → [왼쪽] 대시보드 → [오른쪽]대시보드생성 → 대시보드 이름생성 → 위젯 추가 → 이 대시보드에 추가 → 지표 그래프 추가 → 위젯 추가 → 대시보드 저장

• 대시보드이름 : yhshimsec
• 위젯 추가 : 행 선택
• 이 대시보드에 추가 : 지표 선택
• 지표 그래프 추가 : EC2의 CPUUtilization, NetworkPacketsIn, NetworkPacketsOut 선택

CloudWatch 로그 그룹 생성 및 VPC Flows logs 연동

CloudWatch → [왼쪽]로그 → 로그 그룹 → [오른쪽]로그 그룹 생성 → 대시보드에 저장

• 로그 그룹 이름 : yhshimsec

CloudWatch Logs를 사용하여 EC2, CloudTrail, Route 53 및 다른 원본에서 시스템, 애플리케이션 및 사용자 지정 로그 파일을 모니터링, 저장 및 액세스할 수 있습니다.

VPC → [오른쪽] VPC → 플로우 로그생성 → 완료

• 이름 : yhshimsec
• 필터 : 모두 선택
• 최대 집계 간격 : 1분
• 대상 : CloudWatch Logs로 전송
• 대상로그그룹 : yhshimsec
• IAM 역할 : test-iam-role-ec2-instance-bastion (사전에 생성해 놓음)
• 로그 레코드 형식 : AWS 기본 형식

CloudWatch → [왼쪽]로그 → [윈쪽]로그그룹 → [오른쪽]로그그룹 선택 → VPC Flow 로그 확인

CloudTrail

• CloudTrail은 AWS 계정의 거버넌스, 규정, 준수, 운영 감사, 위험 감사를 지원하는 서비스 입니다.
• CloudTrail은 리전단위로 활성화됩니다.
• AWS 계정을 만들면 CloudTrail도 기본적으로 활성화됩니다.

CloudTrail에서 로그 읽기와 필터링

CloudTrail → [왼쪽]이벤트 기록 → [오른쪽]필터 설정 → [오른쪽]이벤트 저장

• 필터 : 사용자
• 이벤트 저장 : CSV로 저장

CloudTrail에서 추적 생성

CloudTrail → [왼쪽]추적 → [오른쪽]추적생성 → 다음 → 다음 → 추적 생성 완료

• 추적 이름 : yhshim-sec
• 추적 로그 버킷 및 폴더 : yhshim-sec
• AWS KMS 별칭 : yhshim-sec

S3 → 버킷 → 객체 → 객체 선택 → 열기 또는 (객체 작업 → 쿼리 실행)

• 버킷명 : yhshim-sec
• 객체명 : yhshim-sec
• 객체 작업 : S3 Select를 사용한 쿼리 실행

CloudWatch 와 CloudTrail 연동

CloudTrail → [왼쪽]추적 → [오른쪽]추적생성 → 다음 → 다음 → 추적 생성 완료

• 추적 이름 : yhhim-sec
• 추적 로그 버킷 및 폴더 : yhhim-sec
• AWS KMS 별칭 : yhhim-sec
• 로그 그룹 이름 : yhhim-sec
• 역할 이름 : yhhim-sec

CloudWatch → [왼쪽]로그 → 로그 그룹 → [오른쪽]로그 그룹 → 로그 확인

AWS Config

• 리소스 구성을 측정, 감사 및 평가할 수 있는 서비스입니다.

AWS Config

AWS Config 설정과 사용

AWS Config → [왼쪽]AWS Config 설정→ 일반설정 → 규칙 → 검토 → 확인

• 기록할 리소스 유형 : 이 리전 내에서 지원되는 모든 리소스 유형 기록 선택, 전역 리소스 체크
• AWS Config 역할 : 기존 AWS Config 서비스 연결 역할 사용 선택
• AWS S3 버킷 : 버킷 생성 선택
• S3 버킷 이름 : yhshimsec
• Amazon SNS 주제 : 구성 변경 사항과 알림을 Amazon SNS 주제에 스트리밍합니다 체크
• SNS 주제 이름 : yhshimsec
• AWS 관리형 규칙 : iam-user-mfa-enable 선택

AWS Config → 대시보드 → 확인

ISMS-P 를 위한 AWS Config 규정 준수 팩 사용하기[참고]

• AWS Config 규정 준수 팩은 AWS 계정과 단일 리전 또는 AWS Organization으로 조직된 전체 계정에 대해 배포 할 수 있는 AWS Config 규칙 및 문제 해결(Remediation) 작업의 모음입니다.
• ISMS-P는 한국인터넷 진흥원(KISA)에서 주관하는 정보보호 및 개인정보보호 관리체계 인증 프로그램으로 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도입니다.

AWS Config → [왼쪽]AWS 규정 준수팩 → [오른쪽]규정 준수팩 배포 → 다음 → 다음 → 규정 준수 팩 배포

• 규정 준수 팩 템플릿 : 샘플 템플릿 사용
• 샘플 템플릿 : Operation Best Practices for KISMS cpack 선택
• AWS S3 버킷 : 버킷 생성 선택
• 규정 준수 팩 이름 : K-ISMS

 

 

blog migration project

written in 2022.9.25

https://medium.com/techblog-hayleyshim/aws-cloudwatch-cloudtrail-config-96be278a1053