Aws cloud trail 이란?

Aws cloud trail -> Management console, SDK ,CLI 를 통하여 이루어진 API 호출을 포함하여 계정에 대한 AWS호출 내용을 저장하는 것.

-> Cloud trail을 지원하는 서비스에 대해 Aws api를 호출하는 사용자와 계정을 조회가 가능하다.

(호출이 발생하는 소스 IP 주소 / 호출 발생 현황)

-> 계정 생성시 활성화 되고, 90일동안의 계정활동에 대한 이벤트 기록 제공, S3 Log에 저장된다.
(장기적 관점에서 보안 침해 검토, 사전 모니터링 규정 준수 및 준수 표준을 충족하기 위해 요청)

 

모든 Aws계정 및 지역에서 Cloud trail구성이 된다.

-> global service event(ex> IAM ,Route53 등) 포함되고 기록된다. 모드 리전에 적용되는 Trail 생성을 하면 모든 Aws Region에 자동으로 연동 된다.

 

CloudTrail은 감사, 보안 모니터링, 운영 문제해결 등에 해결에 지원되며, 별도의 S3로 로그를 전송 로그파일 저장가능.

: 모든 리전에 적용되는 Cloud Trail 생성 -> Kms Key로 log파일을 암호화 -> log파일 검증 가능

: 제한된 액세스 권한이 있는 별도의 보안 경계에 있는 s3버킷에 전달될수 있도록 cloud trail로그를 구성한다.

-> 감사 목적으로 별도의 관리 도메인에 있는  s3버킷에 logfile을 저장할때 엄격한 보안제어와 업무분리를 적용 할 수있으며, s3 버킷에 대한 액세스를 제한하면 log에 대한 무제한 액세스 가능성이 줄어든다. 이러한 제어가 있으면 aws계정 자격증명이 손상되더라도, log는 별도의 도메인에 저장되므로 손실 되지 않는다.

 

- Trail에 대한 Event 켜기

Data event는 s3 Aws Lambda에서 수행되는 리소스 작업에 대한 가시성을 제공하며 데이터 플레인이라고도 한다.

 

-Cloud trail 로그파일 무결성 검증 활성화 : cloud trail 로그파일 무결성 검증으을 통해 log파일 무결성 검증을 해싱을 위한 SHA-256 및 디지털 서명을 위한 RSA가 포함된 SHA-256 과 같은 산업 표준 알고리즘을 사용하므로 log 파일을 수정하는 것은 불가능하다.

 

-저장 중 cloudtrail로그 파일 암호화 -> cloud trail에서 버킷으로 전달한 로그파일은 SSE-s3사용하여 암호화됨.

-cloud trail과 cloud watch 통합: cloud watch log, metric및 이벤트 형태로 모니터링 운영하여 데이터 수집에 도움이 된다.

Cloud trail과 cloud watch를 통합하면 cloud trail에서 캡처한 특정 이벤트에 대한 알림을 실시간 모니터링으로 수신할수 있다.