AWS CloudTrail은 감사, 보안 모니터링 및 운영 문제 해결을 지원합니다. CloudTrail은 AWS 서비스 전반의 사용자 활동 및 API 호출을 이벤트로 기록합니다. CloudTrail 이벤트는 “누가, 어디서, 언제 무엇을 했는가?”라는 질문에 답하는 데 도움이 됩니다.
CloudTrail에서는 3가지 유형의 이벤트를 기록합니다.
이벤트 레코드는 AWS 리전에서 발생한 지난 90일간의 관리 이벤트에 대한 조회, 검색, 다운로드 가능하며 변경 불가능한 기록을 제공합니다. 이벤트 기록을 보는 데에는 CloudTrail 요금이 부과되지 않습니다.
CloudTrail 이벤트 기록은 모든 AWS 계정에서 활성화되며 수동으로 설정하지 않아도 AWS 서비스 전반의 관리 이벤트를 기록합니다. AWS 프리 티어를 사용하면 CloudTrail 콘솔을 사용하거나 CloudTrail lookup-events API를 사용하여 계정 관리 이벤트의 가장 최근 90일 기록을 무료로 보고, 검색하고, 다운로드할 수 있습니다. 자세한 내용은 Viewing events with CloudTrail Event history(CloudTrail 이벤트 기록에서 이벤트 보기)를 참조하세요.
추적은 AWS 계정 활동 레코드를 캡처하여 Amazon S3에 이러한 이벤트를 전달 및 저장하고, 선택적으로 Amazon CloudWatch Logs 및 Amazon EventBridge로 전달합니다. 이러한 이벤트는 보안 모니터링 솔루션에 반영할 수 있습니다. 자체 서드 파티 솔루션 또는 Amazon Athena와 같은 솔루션을 사용하여 CloudTrail에서 캡처한 로그를 검색하고 분석할 수 있습니다. AWS Organizations를 사용하여 단일 AWS 계정 또는 여러 AWS 계정에 대한 추적을 생성할 수 있습니다.
추적을 생성하여 진행 중인 관리 및 데이터 이벤트를 S3에 전송하고 선택적으로 CloudWatch Logs에 전송할 수 있습니다. 이렇게 하면 전체 이벤트 세부 정보를 얻을 수 있으며 원하는 대로 이벤트를 내보내고 저장할 수 있습니다. 자세히 알아보려면 Creating a trail for your AWS account(AWS 계정 추적 생성)을 참조하세요.
S3 버킷에 저장된 CloudTrail 로그 파일의 무결성을 검증하고, CloudTrail에서 로그 파일을 S3 버킷으로 전송한 이후로 로그 파일이 그대로 유지되거나, 수정되거나, 삭제되었는지 탐지할 수 있습니다. IT 보안 및 감사 프로세스에서 로그 파일 무결성 검증 기능을 사용할 수 있습니다. 기본적으로 CloudTrail은 지정된 S3 버킷으로 전송된 모든 로그 파일을 S3 서버 측 암호화(SSE)를 사용하여 암호화합니다. 필요한 경우 AWS Key Management Service(KMS) 키를 사용해 로그 파일을 암호화함으로써 CloudTrail 로그 파일에 대한 보안 계층을 추가할 수도 있습니다. 사용자에게 복호화 권한이 있는 경우 S3에서 로그 파일을 자동으로 복호화합니다. 자세한 내용은 Encrypting CloudTrail log files with AWS KMS–managed keys (SSE-KMS)(AWS KMS 관리형 키(SSE-KMS)를 사용한 CloudTrail 로그 파일 암호화)를 참조하세요.
단일 위치에 여러 AWS 리전의 이벤트를 캡처하고 저장하도록 CloudTrail을 구성할 수 있습니다. 이 구성은 모든 설정이 기존 리전과 새로 시작된 리전에 일관되게 적용됨을 인증합니다. 자세히 알아보려면 Receiving CloudTrail log files from multiple Regions(여러 리전에서 CloudTrail 로그 파일 수신)을 참조하세요.
단일 위치에 여러 AWS 계정의 이벤트를 캡처하고 저장하도록 CloudTrail을 구성할 수 있습니다. 이 구성은 모든 설정이 모든 기존 계정과 새로 생성된 계정에 일관되게 적용되는지 확인합니다. 자세히 알아보려면 Creating a trail for an organization(조직 추적 생성)을 참조하세요.
CloudTrail Lake는 감사 및 보안 목적으로 AWS에서 사용자 및 API 활동을 캡처, 저장, 액세스 및 분석하기 위한 관리형 데이터 레이크입니다. AWS 및 비 AWS 소스 모두에서 활동 로그를 집계, 시각화, 쿼리하고 변경 불가능한 형식으로 저장할 수 있습니다. IT 감사자는 감사 요구 사항을 충족하기 위해 CloudTrail Lake를 모든 활동에 대한 변경 불가능한 레코드로 사용할 수 있습니다. 보안 관리자는 사용자 활동이 내부 정책을 준수하는지 확인할 수 있습니다. DevOps 엔지니어는 Amazon Elastic Compute Cloud(EC2) 인스턴스가 응답하지 않거나 리소스에 대한 액세스가 거부되는 등의 운영 문제를 해결할 수 있습니다.
CloudTrail Lake는 관리형 감사 및 보안 레이크이기 때문에 이벤트는 레이크 내에 저장됩니다. CloudTrail Lake는 읽기 전용 액세스 권한을 부여하여 로그 파일의 변경을 방지합니다. 읽기 전용 액세스는 이벤트를 변경할 수 없음을 의미합니다.
CloudTrail Lake를 사용하면 레이크 내에서 감사를 위해 활동 로그에 대해 SQL 기반 쿼리를 실행하거나 CloudTrail 이벤트에 대해 SQL 쿼리를 실행하여 CloudTrail Lake 대시보드의 데이터를 더 자세히 분석할 수 있습니다. 또한 복잡한 SQL 쿼리를 작성하지 않고도 CloudTrail Lake의 자연어 쿼리 생성(미리보기)을 사용하여 CloudTrail Lake에서 AWS 활동 이벤트를 보다 간단하게 분석할 수 있습니다. 또한 Amazon Athena를 사용하면 데이터를 이동하거나 복제하는 복잡한 운영 과정 없이 다른 소스의 데이터와 함께 CloudTrail Lake 감사 가능 로그를 대화형 방식으로 쿼리할 수 있습니다. 예를 들어 보안 엔지니어는 보안 사고 조사를 위해 Athena를 사용하여 CloudTrail Lake의 활동 로그를 Amazon S3의 애플리케이션 및 트래픽 로그와 상호 연관시킬 수 있습니다. 이제 규정 준수 및 운영 엔지니어는 규정 준수, 비용 및 사용 보고서를 위해 Amazon QuickSight 및 Amazon Managed Grafana를 사용하여 CloudTrail Lake의 활동 로그를 시각화할 수 있습니다.
AWS CloudTrail Lake를 사용하면 여러 로그 집계 및 보고 도구를 유지 관리할 필요 없이 다른 클라우드 제공업체, 사내 애플리케이션, 클라우드 또는 온프레미스에서 실행되는 SaaS 애플리케이션의 데이터를 비롯한 AWS 및 AWS 외부 소스의 활동 이벤트를 통합할 수 있습니다. 또한 AWS Config의 구성 항목이나 AWS Audit Manager의 감사 증거와 같은 다른 AWS 서비스에서 데이터를 수집할 수 있습니다. CloudTrail Lake API를 사용하여 데이터 통합을 설정하고 이벤트를 CloudTrail Lake에 푸시할 수 있습니다. 서드 파티 도구와 통합하려면 CloudTrail 콘솔의 파트너 통합을 통해 몇 단계만 거치면 이러한 애플리케이션으로부터 활동 이벤트 수신을 시작할 수 있습니다.
CloudTrail Lake를 사용하면 여러 리전의 이벤트를 캡처하고 저장할 수 있습니다.
CloudTrail Lake를 사용하여 AWS Organizations 전체의 계정에 대한 이벤트를 캡처하고 저장할 수 있습니다. 또한 최대 3개의 위임된 관리자 계정을 지정하여 조직 수준에서 조직 트레일 또는 CloudTrail Lake 이벤트 데이터 스토어를 생성, 업데이트, 쿼리 또는 삭제할 수 있습니다.
CloudTrail 관리 이벤트를 지속적으로 분석하여 API 직접 호출 및 API 오류율과 관련된 비정상적인 활동을 식별하고 이에 대응하는 AWS 사용자에게 도움이 되는 AWS CloudTrail Insights 이벤트입니다. CloudTrail Insights는 API 직접 호출 볼륨 및 API 오류율의 일반적인 패턴(일명 기준선)을 분석하고 통화량 또는 오류율이 정상 패턴을 벗어날 때 Insights 이벤트를 생성합니다. 추적 또는 이벤트 데이터 스토어에서 CloudTrail Insights를 활성화하여 이상 동작과 비정상적인 활동을 탐지할 수 있습니다.