[AWS GuardDuty] 여러 계정의 AWS GuardDuty 관리하기(+S3 Logging)

AWS Docs: Managing multiple accounts in Amazon GuardDuty를 읽고 정리한 내용을 바탕으로 작성한 포스팅입니다.
작성 날짜 : 22-09-18

 

AWS GuardDuty

🟩 GuardDuty란?

보안 모니터링 서비스. 아래는 GuardDuty가 모니터링 가능한 AWS 리소스이다.

• S3 logs에 쌓이는 CloudTrail 이벤트
• CloudTrail 관리 이벤트 로그
• DNS 로그
• EBS 볼륨 데이터
• EKS audit log
• VPC flow log

AWS GuardDuty는 악의적인 IP와 도메인 리스트와 같은 위협 인텔리전스 피드와 AWS 환경 내 예측하지 못하고 인증되지 않은 악의적인 활동을 식별하기 위해 머신러닝을 이용한다.

ex) GuardDuty는 멀웨어를 서비스하거나 비트코인을 채굴하는 ec2 인스턴스나 컨테이너 워크로드를 탐지할 수 있다.

---

🟩 여러 계정의 AWS GuardDuty 관리하기

Amazon Gurdduty에서 다수의 계정을 관리하려면 GuardDuty Administrator 계정으로 한 AWS Account를 선택해야만 한다. 이 GuardDuty Administrator 계정에 멤버 계정으로 다른 계정을 연결할 수 있다. 방법은 두 가지이다.

1. 같은 AWS Organizations에 속한 경우 AWS Organizations을 통해 계정 연결 (AWS recommend)
2. GuardDuty를 통해 초대

GuardDuty Administrator 계정은 아래와 같이 멤버 계정을 관리를 할 수 있다.

• 연결된 멤버 계정을 추가하고 제거할 수 있다. 프로세스는 초대인지 또는 organization을 통한 연결인지에 따라 달라진다.
• GuardDuty를 활성화하고 중지하는 것을 포함하여 연결된 멤버 계정의 GuardDuty 상태를 관리할 수 있다.
  • AWS Organizations으로부터 위임된 관리자 계정(1번 방법으로 계정 연결한 경우)은 자동으로 멤버로 추가된 계정에서 GuardDuty를 활성화한다.
• 중지 규칙, 신뢰할 수 있는 IP 목록, threat list를 생성하고 관리하는 것을 통해 GuardDuty network 내에서 결과를 커스터마이징 할 수 있다. 다중 account 환경에서 멤버 계정은 이런 기능이 제한된다.

---

방법 1. AWS Organizations를 이용하여 다수의 GuardDuty Accont 관리하기

• Organization management 계정이 GurdDuty의 위임받은 관리자를 지정할 수 있다.
• Organizaion management 계정으로부터 GuardDuty 관리자로 위임받은 계정은 GuardDuty Administrator Account가 된다.

1-1. 고려사항

1. 위임받은 administrator는 최대 5000개의 멤버 계정을 관리할 수 있다.
2. 위임받은 administrator는 지역에 귀속한다.
   • GuardDuty는 Regional Service이다. (Organizations는 global service)
   • 따라서 위임받은 administrator는 본인이 속한 region의 member account만 추가할 수 있다.
3. Organization은 하나의 위임받은 administrator를 가질 수 있다.
4. 위임받은 administrator을 변경하는 것은 member account의 GuardDuty를 비활성화하지 않는다.
   • 위임받은 administrator를 제거하면, 모든 연관된 member accounts는 GuardDuty member로 제거되지만 각 계정에서 GuardDuty가 비활성화되지는 않는다.

방법 2. 초대를 통해 다수의 GuardDuty Accont 관리하기

[GuardDuty Administrator 계정] AWS GuardDuty Console > Settings > Accounts

• 연결하고자 하는 계정이 AWS Organization에 속하지 않는 경우 GuardDuty에서 Administrator account를 specify하고 그 administrator 계정을 이용하여 다른 AWS 계정을 멤버 계정으로 초대할 수 있다. 초대가 승낙되면 그 계정은 GuardDuty administrator 계정에 연결된 멤버 계정이 된다.
• 연결하고자 하는 계정이 AWS Organization에 속하지 않는 경우 초대 방법을 이용할 수 있다.
• AWS Account는 GuardDuty administrator 계정이면서 동시에 member 계정일 수 없다.
• 초대로 인해 연결되는 administrator 계정과 member 계정 간의 관계는 Organization 내에서 위임받은 administrator 계정과 member 계정 간의 관계와 같다. 하지만 초대에 의한 administrator 계정의 유저는 member 계정을 대신하여 GuardDuty를 활성화하거나 Organiztaions에 속한 다른 member가 아닌 계정을 보지 못한다.

2-1. AWS GuardDuty Console에서 다른 Account 초대하기

1) AWS GuardDuty Console > Settings > Accounts > 좌측 상단의 [Add accounts] 버튼 클릭

AWS GuardDuty Console > Settings > Accounts

2) 추가한 계정을 선택하고 좌측 상단의 작업(Actions) > 초대(Invite) 클릭

3) 초대한 멤버 계정으로 접속하여, 초대 수락

2-2. 주의할 점 ⚠️

초대로 인해 GuardDuty가 멤버 계정을 만들 때 cross-regional 데이터 전송이 발생된다. 멤버 계정의 이메일 주소를 인증하기 위해 GuardDuty가 US East(N. Virginia)에서 이메일 인증 서비스를 수행한다.

---

🟩 여러 계정의 GuardDuty findings를 S3에 로깅하기

GuardDuty는 findings를 CloudWatch Events 및 AWS S3 버킷으로 export할 수 있다. GuardDuty가 생성하는 신규 findings는 생성된 후 약 5분 이내에 자동으로 보내질 수 있다. findings에 대한 업데이트를 CloudWatch 이벤트로 export 하는 빈도를 설정할 수 있다.

위 기능을 이용하여 S3에 findings를 자동으로 export하는 경우, S3 버킷 및 동일한 리전에 KMS 키가 필요하다.

[AWS Kinesis Data Firehose] Cross-Account 환경에서 다른 계정의 S3 Bucket에 실시간 데이터 스트리밍하기

여러 계정을 통합하는 GuardDuty Administrator 계정에서 로깅을 설정하면 Member 계정의 findings도 함께 로깅된다.

실시간 GuardDuty 로깅이 필요한 경우, GuardDuty Administrator Account 계정에서 Kinesis Data Firehose를 이용하여 S3에 데이터를 저장할 수 있다. (참고: [AWS Kinesis Data Firehose] Cross-Account 환경에서 다른 계정의 S3 Bucket에 실시간 데이터 스트리밍 하기) 이 경우, EventBridge를 통해 GuardDuty에 이벤트가 발생하면 Kinesis Data Firehose Delivery Stream을 trigger 하도록 하는 추가 구성이 필요하다.

 

 

---

🔗 참고 링크

1. AWS Docs: Managing multiple accounts in Amazon GuardDuty
2. AWS Docs: Exporting findings
3. 기술 블로그: [AWS Kinesis Data Firehose] Cross-Account 환경에서 다른 계정의 S3 Bucket에 실시간 데이터 스트리밍 하기