아마존웹서비스(AWS)는 AWS 리인벤트(AWS re:Invent) 행사에서 아마존 시큐리티 레이크를 발표했다.
아마존 시큐리티 레이크는 사용자 지정 가능한 데이터 보유 설정을 통해 전체 수명 주기 동안 데이터를 관리하고, 들어오는 보안 데이터를 효율적인 아파치 파켓 형식으로 변환하며, OCSF(개방형 산업 표준)를 준수해 AWS의 보안 데이터를 자동으로 정규화하고 수십 개의 사전 통합된 서드파티 엔터프라이즈 보안 데이터 소스와의 결합을 쉽게 만든다. 보안 분석가와 엔지니어는 아마존 시큐리티 레이크를 사용하여 대량의 이질적 로그와 이벤트 데이터를 집계, 관리, 최적화함으로써 더 빠른 위협 탐지, 조사, 사고 대응이 가능해지므로 선호하는 분석 도구를 계속 활용하면서 잠재적인 문제를 효과적으로 신속하게 해결할 수 있다.
고객은 조직 전체의 보안 활동에 대한 가시성을 개선하여 잠재적인 위협과 취약성을 사전에 식별하고 보안 경고를 평가한 후 그에 따라 대응하고, 향후 보안 이벤트가 발생하지 않도록 방지하기를 원한다.
이를 위해 대부분의 조직은 클라우드와 온프레미스에서 실행되는 다양한 소스(애플리케이션, 방화벽, ID 시스템 등)의 로그와 이벤트 데이터에 의존하며, 각각 고유하고 종종 호환되지 않는 데이터 형식을 사용한다. 민감한 정보에 대한 무단 외부 데이터 전송을 발견하거나 전 직원의 기기에 설치된 멀웨어를 식별하는 것과 같은 보안 관련 인사이트를 도출하기 위해 조직은 먼저 모든 데이터를 일관된 형식으로 집계하고 정규화해야 한다. 데이터 형식이 일관화되면 고객은 데이터를 분석하고 현재 취약성 수준을 이해한 다음 위협을 연관시키고 모니터링하여 관찰 가능성을 높일 수 있다.
고객은 일반적으로 사고 대응이나 보안 분석과 같은 특정 사용 사례를 해결하기 위해 서로 다른 보안 솔루션을 사용하는데, 각 솔루션에는 고유한 데이터 저장소와 형식이 있기 때문에 동일한 데이터를 여러 번 복제하고 처리하는 경우가 많다. 이는 시간과 비용이 많이 들고 보안 팀이 문제를 발견하고 대응하는 능력을 저하시킨다.
고객이 새로운 사용자, 도구, 데이터 소스를 추가함에 따라 보안 팀은 복잡한 데이터 액세스 규칙과 보안 정책을 관리하여 데이터 사용 방식을 추적하고 사람들이 업무에 필요한 정보를 얻을 수 있도록 해야 한다. 일부 보안 팀은 데이터 레이크의 모든 보안 데이터에 대한 중앙 리포지토리를 생성하지만 이러한 시스템은 전문 기술이 필요하며 서로 다른 소스의 대량의 로그 데이터가 페타바이트 규모로 실행될 수 있기 때문에 구축하는 데 몇 달이 걸릴 수 있다.
아마존 시큐리티 레이크는 고객이 선호하는 도구를 사용하여 보안 이벤트에 더 빠르게 대응할 수 있도록 데이터를 집계, 정규화 및 저장할 수 있도록 특화된 보안 데이터 레이크로 단 몇 번의 클릭만으로 생성할 수 있다. 선택한 데이터 소스를 설정하고 연결하면 아마존 시큐리티 레이크는 고객이 선택한 지역에 보안 데이터 레이크를 자동으로 구축하므로 보다 쉽게 지역 데이터 규정 요건을 준수할 수 있다. 고객이 데이터 소스를 선택하면 아마존 시큐리티 레이크는 AWS의 데이터를 자동으로 집계, 정규화하고 OCSF를 지원하는 서드파티 소스와 결합하고 저장과 쿼리가 쉬운 형식으로 최적화한다.
아마존 시큐리티 레이크는 데이터 레이크 생성과 데이터 집계에서 정규화, 통합에 이르는 엔드 투 엔드 프로세스를 자동으로 조율한다. 새로운 서비스는 아마존 심플 스토리지 서비스(아마존 S3)와 AWS 레이크 포메이션을 사용해 보안 데이터 레이크를 구축하여 고객의 AWS 계정에 보안 데이터 레이크 인프라를 자동으로 설정함으로써 보안 데이터에 대한 완전한 제어와 소유권을 제공한다.
수집과 정규화가 완료되면, 고객은 아마존 아테나, 아마존 오픈서치, 아마존 세이지메이커 등의 선호하는 보안, 분석 도구를 주요 서드파티 솔루션(IBM, 스플렁크, 수모로직 등)과 함께 사용할 수 있으며, 이를 통해 AWS와 50개 이상의 서드파티(시스코, 크라우드스트라이크, 팔로알토 네트웍스 등), 고객 데이터 소스의 광범위하고 심층적인 분석을 더 빠르고 쉽게 캡처할 수 있다. 그 결과, 아마존 시큐리티 레이크는 고객이 전반적인 보안 태세를 개선하고, 보안 팀이 이벤트를 식별, 이해할 수 있도록 더 큰 가시성을 제공하며, 보안 문제 해결 시간을 단축하도록 지원한다.
존 램지(Jon Ramsey) AWS 보안 서비스 부사장은 “고객은 데이터와 네트워크를 보호하기 위해 신속한 조치를 취할 수 있도록 보안 위험을 빠르게 감지하고 대응할 수 있어야 하지만, 분석에 필요한 데이터는 여러 소스에 분산되어 다양한 형식으로 저장되는 경우가 많다. 고객은 보안 태세를 개선하기 위해 데이터에 더 빠르게 조치를 취하고 싶어 하지만 데이터를 수집, 정규화, 저장, 관리하는 프로세스는 복잡하고 시간이 많이 걸린다”라며 “아마존 시큐리티 레이크를 사용하면 모든 규모의 고객이 몇 번의 클릭만으로 보안 데이터 레이크를 안전하게 설정하여 수십 개의 소스에서 로그와 이벤트 데이터를 집계하고, OCSF 표준을 준수하도록 정규화하며, 보안 분석가가 선택한 도구에서 광범위하고 즉각적으로 사용할 수 있다. 아마존 시큐리티 레이크를 통해 고객은 최대 규모의 보안 파트너와 솔루션 에코시스템의 도움을 받아 뛰어난 가시성과 제어를 구현할 수 있다”고 말했다.
아마존 시큐리티 레이크는 현재 미국 동부(버지니아 북부), 미국 동부(오하이오), 미국 서부(오레곤), 아시아 태평양(시드니), 아시아 태평양(도쿄), 유럽(프랑크푸르트), 유럽(더블린)에서 프리뷰로 제공되며, 이용 가능한 AWS 리전이 곧 추가될 예정이다.
★정보보안 대표 미디어 데일리시큐!★
