AWS CloudTrail

1. AWS CloudTrail 란?

AWS CloudTrail은 계정의 거버넌스, 규정 준수, 운영 및 위험 감사를 활성화하도록 도와주는 서비스이다.

사용자, 역할 또는 AWS 서비스가 수행하는 작업들은 CloudTrail에 이벤트로 기록된다. 이벤트에는 AWS Management 콘솔, AWS Command Line Interface 및 AWS SDK, API에서 수행되는 작업들이 포함된다.

 

CloudTrail은 생성 시 AWS 계정에서 자동으로 활성화된다. 활동이 AWS 계정에서 이루어지면 해당 활동이 CloudTrail 이벤트에 기록된다. 

 

CloudTrail 요금에 대한 자세한 내용은 AWS CloudTrail 요금을 참조

AWS CloudTrail 요금

2. 이점

AWS 계정 활동에 대한 가시성은 보안 및 운영 모범 사례에서 중요한 측면이다.

CloudTrail을 사용하여, AWS 인프라 전반에서 계정 활동을 확인, 검색, 다운로드, 보관 및 응답할 수 있으므로계정 활동에대한가시성을 충족 시킬 수 있다.

누가 또는 무엇이 어떤 작업을 수행했는지, 어떤 리소스에 대해 조치가 취해졌는지, 언제 이벤트가 발생했는지, AWS 계정에서 활동 분석 및 응답에 도움이 되는 기타 세부 정보를 식별할 수 있다.

선택적으로 트레일에서 AWS CloudTrail Insights를 활성화하여 비정상적인 활동을 식별하고 이에 대응할 수 있다.

API를 사용해 CloudTrail을 애플리케이션에 통합시킴으로써 조직에 대한 추적 생성을 자동화하고 생성한 추적 상태를 확인하며 사용자가 CloudTrail 이벤트를 확인하는 방법을 제어할 수 있다.

 

3. 정리

CloudTrail은 각 계정별 활동에 대한 가시성을 제공하는 서비스 같다.

개념은 다르지만, Log를 확인해 볼 수 있는 CloudWatch와 비교를 해보면, CloudWatch는 Back-end의 Logs에 대한 기록을 제공하는 서비스라면 CloudTrail은 계정별 활동

즉 APIGATEWAY에 접근, EC2에 접근 등... 특정 계정별 이벤트에 대한 기록을 AWS 계정을 활성화 하면 자동으로 CloudTrail 서비스가 실행이 되어 Log를 추적할 수 있다는 점이다.

이러한 서비스를 이용하면, 보안에 대한 부분들도 SNS서비스와 조합해서 사용한다면 괜찮지 않을까 생각이 든다.

해당 조건이 성립한다면, CloudTrail의 Log를 S3에 업로드 하고 난뒤, SNS를 이용하여 알림을 받으면 괜찮지 않을까?