본문 바로가기
카테고리 없음

Amazon Security Lake 란,구성요소, 사용 사례

by jranke 2025. 3. 12.

Amazon Security Lake는 AWS 환경에서 발생하는 다양한 보안 데이터를 중앙에서 관리하고 분석할 수 있도록 도와주는 서비스입니다. 보안 로그 및 이벤트 데이터를 표준화하여 SIEM(Security Information and Event Management) 및 데이터 분석 도구와 쉽게 통합할 수 있습니다. 

Amazon Security Lake 란

Amazon Security Lake는 AWS 및 온프레미스 환경에서 보안 데이터를 통합하여 저장, 관리, 분석할 수 있는 서비스입니다. AWS 및 서드파티 보안 솔루션에서 생성된 데이터를 자동으로 수집하고, 이를 Open Cybersecurity Schema Framework(OCSF) 표준으로 변환하여 분석할 수 있도록 지원합니다.

 

Amazon Security Lake란?

Amazon Security Lake는 보안 로그를 단일 플랫폼에서 수집, 변환 및 저장하여 조직이 효율적으로 위협을 탐지하고 대응할 수 있도록 도와줍니다. 기존의 보안 데이터 관리 방식과 달리, Security Lake는 보안 로그를 표준화된 OCSF 형식으로 변환하여 다양한 분석 도구와의 호환성을 높였습니다.

 

Security Lake 개념도
Security Lake 개념도 [출처: AWS]

주요 기능

  • 보안 데이터 통합 및 표준화: AWS 및 서드파티 보안 솔루션에서 데이터를 수집하고 OCSF 표준 포맷으로 변환
  • 자동 데이터 수집 및 저장: AWS CloudTrail, AWS Security Hub, Amazon GuardDuty 등에서 데이터를 자동 수집
  • 확장 가능한 데이터 분석 환경 제공: Amazon Athena, AWS Lake Formation, SIEM 솔루션과 통합 가능
  • 비용 효율적인 보안 데이터 저장: Amazon S3를 기반으로 데이터 저장, 필요한 데이터만 선택적으로 보관 가능
  • 다양한 보안 도구와 연동 가능: Splunk, Datadog, IBM QRadar 등 외부 SIEM 및 분석 도구와 쉽게 연결

Amazon Security Lake 지원 데이터 소스

  • AWS 보안 서비스: AWS CloudTrail, Amazon GuardDuty, AWS Security Hub, VPC Flow Logs
  • 서드파티 보안 솔루션: CrowdStrike, Splunk, Datadog 등 다양한 보안 도구
  • 온프레미스 및 기타 클라우드 데이터: 자체 보안 로그 및 기타 클라우드 서비스의 보안 이벤트

 

구성요소

Amazon Security Lake는 보안 데이터를 자동으로 수집, 표준화 및 저장하여 분석 및 대응이 용이하도록 구성됩니다.

 

Amazon Security Lake 구성 요소

1) 데이터 수집 (Data Collection)

  • AWS 보안 서비스 및 서드파티 보안 솔루션에서 자동으로 로그 데이터를 수집
  • API 및 이벤트 기반 로그 수집 기능 지원
  • 온프레미스 및 타 클라우드 보안 로그도 연동 가능

2) 데이터 표준화 (Data Normalization)

  • OCSF(Open Cybersecurity Schema Framework) 표준을 적용하여 로그 데이터 변환
  • 다양한 데이터 포맷을 단일 표준으로 통합하여 데이터 일관성 및 분석 용이성 제공
  • JSON, CSV 등의 다양한 형식 지원

3) 데이터 저장 (Data Storage)

  • 보안 데이터는 Amazon S3에 저장되어 확장성 및 내구성을 보장
  • 데이터 보존 정책을 설정하여 저장 공간 최적화
  • Amazon S3 버킷을 통해 보안 데이터를 장기적으로 관리 가능

4) 데이터 분석 및 시각화 (Data Analysis & Visualization)

  • Amazon Athena를 사용하여 SQL 기반 보안 로그 분석 가능
  • Amazon OpenSearch Service와 연동하여 대시보드 기반 시각화
  • SIEM 솔루션과 연동하여 실시간 보안 위협 탐지 및 대응 가능

 

사용 사례

Amazon Security Lake는 기업 보안 팀 및 클라우드 관리자들이 보안 데이터를 효율적으로 관리하고 위협을 탐지하는 데 활용됩니다.

 

1) 클라우드 보안 데이터 통합 관리

AWS 보안 서비스와 온프레미스 보안 로그를 하나의 데이터 레이크로 통합하여 중앙 관리 가능

  • AWS GuardDuty, CloudTrail 로그를 단일 플랫폼에서 통합 분석
  • SIEM 시스템과 연계하여 보안 이벤트를 자동 탐지 및 대응

2) 실시간 위협 탐지 및 대응 자동화

Security Lake를 Splunk, Datadog과 같은 SIEM 솔루션과 통합하여 실시간 위협 탐지 수행

  • 이상 네트워크 트래픽 감지 시 EventBridge를 활용하여 자동 경고 발송
  • Amazon OpenSearch와 연동하여 보안 이벤트 대시보드 구성

3) 컴플라이언스 및 규제 준수 지원

PCI DSS, GDPR, ISO 27001과 같은 보안 규제를 준수하기 위해 Security Lake를 활용

  • CloudTrail 로그를 분석하여 규제 요구사항 준수 여부 자동 확인
  • 특정 보안 이벤트 발생 시 감사 보고서를 자동 생성하여 제출

Amazon Security Lake는 보안 데이터를 중앙에서 효율적으로 관리하고, 분석 및 위협 탐지를 용이하게 하는 AWS 서비스입니다.

요약하면 다음과 같습니다.

  • AWS 및 서드파티 보안 데이터를 자동으로 수집하고 OCSF 표준으로 변환
  • Amazon S3 기반의 확장 가능한 보안 데이터 레이크 구축 가능
  • SIEM 및 분석 도구와 연동하여 실시간 위협 탐지 및 보안 모니터링 수행

Amazon Security Lake를 활용하여 보안 데이터를 효과적으로 관리하고, 클라우드 환경에서 더욱 강력한 보안 전략을 수립할 수 있습니다.

티스토리툴바