Q. AWS IoT Device Defender란 무엇입니까?
AWS IoT Device Defender는 지속적으로 IoT 구성을 보호할 수 있는 완전관리형 IoT 보안 서비스입니다. AWS IoT Device Defender를 사용하면 보안 문제를 식별하고 대응할 수 있는 도구를 확보할 수 있습니다. AWS IoT Device Defender는 플릿을 감사하여 보안 모범 사례를 준수하도록 하고, 디바이스 플릿을 지속적으로 모니터링하여 비정상적인 디바이스 동작을 탐지하며, 보안 문제가 발생하면 알려주고, 해당 보안 문제에 대한 기본 제공 완화 조치를 제공합니다.
Q. AWS IoT Device Defender의 주요 기능은 무엇인가요?
감사 AWS IoT Device Defender는 AWS IoT 보안 모범 사례(예: 최소 권한 원칙, 디바이스별 고유 자격 증명)를 기준으로 디바이스 관련 리소스(예: X.509 인증서, IoT 정책, 클라이언트 ID)를 감사합니다. AWS IoT Device Defender는 여러 디바이스에서 같은 자격 증명을 사용하거나 하나의 디바이스에서 여러 다른 디바이스의 데이터를 읽고 업데이트할 수 있도록 하는 지나치게 허용적인 정책과 같이 보안 모범 사례를 준수하지 않는 구성을 보고합니다.
Rules Detect AWS IoT Device Defender는 디바이스와 AWS IoT Core에서 고가치 보안 지표(예: 디바이스의 리스닝 TCP 포트 수 또는 인증 실패 횟수)를 지속적으로 모니터링하여 침해 지표가 될 수 있는 비정상적인 디바이스 동작을 탐지합니다. 이러한 지표에 대한 동작(규칙)을 설정함으로써 디바이스 그룹의 정상적인 디바이스 동작을 지정할 수 있습니다. AWS IoT Device Defender는 사용자가 정의한 동작(규칙)을 바탕으로 이러한 지표에 대해 보고된 각 데이터 포인트를 모니터링하고 평가하며 이상이 탐지되면 알려줍니다.
ML Detect AWS IoT Device Defender는 이후 14일 동안의 6개 클라우드 측 지표(예: 권한 부여 실패 수, 메시지 전송 수)와 7개의 디바이스 측 지표(패킷 출력, 수신 TCP 포트 수)를 기반으로 디바이스 데이터를 사용하여 기계 학습(ML) 모형에서 디바이스 동작을 자동으로 설정합니다. 그런 다음, 매일 모형을 재훈련하여(모형을 훈련할 데이터가 충분한 경우) 초기 모형을 구축하고 최신 이후 14일을 기준으로 예상되는 디바이스 동작을 새로 고칩니다. AWS IoT Device Defender는 ML 모형을 기반으로 이러한 지표에 대한 이상 데이터 포인트를 모니터링 및 식별하고 이상이 탐지되면 경보를 트리거합니다. Rules Detect와 비교했을 때, 이 기능의 주요 이점은 일반적인 디바이스 활동 임계값을 정의하지 않고도 플릿 디바이스에서 운영 및 보안 이상을 자동으로 탐지하고, 디바이스에서 새로운 트렌드에 기반하여 예상되는 디바이스 동작을 동적으로 업데이트하여 거짓 긍정을 줄일 수 있다는 점입니다.
알림 AWS IoT Device Defender는 AWS IoT 콘솔, Amazon CloudWatch 및 Amazon SNS에 경보를 게시합니다.
완화 AWS IoT Device Defender는 문제를 조사할 수 있도록 디바이스 메타데이터, 디바이스 통계, 디바이스에 대한 과거 알림 등 디바이스에 대한 컨텍스트 및 기록 정보를 제공합니다. 또한, AWS IoT Device Defender의 기본 제공 완화 조치를 사용하여 사물 그룹에 사물 추가, 기본 정책 버전 대체, 디바이스 인증서 업데이트와 같은 완화 단계를 감사 및 탐지 경보에서 수행할 수 있습니다.
Q. 고객은 현재 AWS IoT를 사용하여 어떻게 디바이스를 보호하며 AWS IoT Device Defender가 어떻게 도움이 됩니까?
AWS IoT Core는 디바이스를 클라우드와 다른 디바이스에 안전하게 연결할 수 있도록 보안 빌딩 블록을 제공합니다. 이 빌딩 블록을 사용하면 구성을 기반으로 다양한 수준의 엄격성에서 인증, 권한 부여, 감사 로깅 및 엔드 투 엔드 암호화와 같은 보안 제어 항목을 적용할 수 있습니다. AWS 공동 책임 모델에 따라, 고객은 비즈니스 요구 사항에 따라 정기적으로 보안 구성의 기준선을 설정해야 합니다. 하지만 사람의 실수나 시스템상 오류 및 나쁜 의도를 가진 권한 있는 사용자는 보안에 부정적인 영향을 미치는 구성을 도입할 수 있습니다.
AWS IoT Device Defender는 보안 모범 사례와 자체 조직의 보안 정책을 준수하는지 보안 구성을 지속적으로 감사할 수 있습니다. 언제든지 잘못된 구성이 발생할 수 있으므로 지속적 감사가 매우 중요합니다. 또한, 보안 구성은 시간이 지나면 영향을 받을 수 있으며 새로운 위협이 끊임없이 생겨납니다. 예를 들어 디바이스 인증서에 보안 디지털 서명을 제공하는 것으로 알려진 암호화 알고리즘은 컴퓨팅 및 암호 해독 방법이 발전함에 따라 약화될 수 있습니다.
AWS IoT Device Defender는 AWS IoT 보안 제어 항목을 효과적으로 사용할 수 있는 기회를 식별합니다. 하지만 잘못된 보안 구성이 수정되지 않거나 디바이스가 패치되기 전에 새로운 공격 벡터가 공개되면, 커넥티드 디바이스의 보안이 침해될 수 있습니다. AWS IoT Device Defender는 이미 침해된 디바이스를 식별하고 억제 및 정정 조치를 시작함으로써 AWS IoT의 예방적 보안 제어 항목을 보완합니다.
Q. AWS IoT Device Defender를 사용하려면 디바이스 수준 코드를 변경해야 합니까?
아닙니다. 콘솔에서 몇 번의 클릭만으로 모든 클라우드 측 지표를 모니터링하고 IoT 구성을 감사할 수 있습니다. 디바이스 측 지표를 모니터링하고 싶다면 디바이스 측 지표가 AWS IoT Device Defender에 게시되도록 디바이스 코드를 변경해야 합니다. 샘플 에이전트를 사용한 참조 구현은 여기에서 확인할 수 있습니다. 디바이스 측 지표와 클라우드 측 지표를 위해 AWS IoT Greengrass와 FreeRTOS가 AWS IoT Device Defender와 완전히 통합됩니다.
디바이스 플랫폼에 신뢰할 수 있는 실행 환경을 지원할 수 있는 특수 하드웨어가 있는 경우, 신뢰할 수 있는 환경에서 실행하도록 디바이스 에이전트를 구현하는 것이 좋습니다. 이러한 설계 유형을 구현하는 방법에 대한 세부 지침은 하드웨어 보안 솔루션 공급업체와 논의하시기 바랍니다.
Q. AWS IoT Device Defender를 사용하여 직접 정의한 표준 이외의 지표를 모니터링할 수 있나요?
예. Device Defender를 사용하여 모니터링할 사용자 지정 지표를 생성할 수 있습니다. 정의한 디바이스 측 지표 모니터링을 시작하는 방법은 설명서를 참조하세요.
Q. AWS IoT Device Defender는 어떻게 작동하나요?
AWS IoT Device Defender를 사용하면 감사 태스크 일정을 예약하고, 디바이스 활동을 모니터링하며, 감사 결과 및 비정상적인 디바이스 동작 경보에 대한 알림을 받을 수 있습니다.
감사 태스크에서는 AWS IoT 구성에 대한 평가를 수행합니다. 필요할 때 또는 일정에 따라 감사 작업을 시작할 수 있습니다. 감사 점검의 정확성을 높이고 거짓 긍정을 최소화하기 위해 AWS IoT Device Defender는 디바이스 상호 작용의 컨텍스트를 AWS IoT Core와 통합합니다.
AWS IoT Device Defender는 연결된 디바이스에서, 그리고 해당 디바이스의 AWS IoT Core와의 상호 작용에서 수집된 고가치 보안 지표를 분석하여 지속적으로 디바이스 활동을 모니터링하고 비정상적인 디바이스 동작을 탐지합니다. Rules Detect를 사용하는 경우 지표 데이터는 사용자 정의 동작을 기준으로 지속적으로 평가됩니다. ML Detect를 사용하는 경우 이상을 식별하기 위해 자동으로 구축된 기계 학습 모형에서 지속적으로 지표 데이터를 평가합니다. 디바이스 지표의 수집 및 내보내기는 선택 사항이지만, 적극적으로 권장됩니다. AWS IoT Device Defender는 디바이스 측 지표를 수집하고 방출하는 역할을 하는 디바이스 에이전트에 대한 참조 구현과 설명서를 제공합니다.
예약된 감사 태스크 결과 및 탐지된 디바이스의 이상 활동 결과는 AWS IoT 콘솔, AWS IoT Device Defender API에 게시되며 Amazon CloudWatch를 통해 액세스할 수 있습니다. 또한, 보안 대시보드와 통합을 위해 결과를 Amazon SNS 주제로 전송하거나 자동화된 수정 워크플로를 트리거하도록 AWS IoT Device Defender를 구성할 수 있습니다.
Q. AWS IoT Device Defender ML Detect 모형 훈련 작업은 어떻게 작동하나요?
AWS IoT Device Defender는 기계 학습 모형을 사용하여 ML Detect에서 디바이스 동작 지표에 대한 이상 데이터 포인트를 모니터링하고 식별합니다. AWS IoT Device Defender가 디바이스에 대한 초기 ML 모형을 구축하는 동안, 최소 14일과 모형을 생성하기 위한 지표당 최소 25,000개의 지표 데이터 포인트가 필요합니다. 이후에는 지표당 최소 25,000개의 지표 데이터 포인트를 충족하는 한, 매일 모형을 업데이트합니다. 최소 데이터 포인트 요구 사항을 충족하지 못하면 AWS IoT Device Defender는 다음 날 모형을 업데이트하려고 시도합니다. 모형 업데이트를 중단하기 전에 30일 동안 매일 재시도합니다.
Q. AWS IoT Device Defender ML Detect를 사용할 때 훈련된 모형의 거짓 긍정 경보를 해결하려면 어떻게 해야 하나요?
수신한 경보를 제어할 도구를 사용자에게 제공하기 위해 AWS IoT Device Defender ML Detect를 사용할 때 비즈니스 사용 사례에 따라 ML 모형의 거짓 긍정 경보를 해결하기 위한 여러 방법을 고안하였습니다.
- 경보를 트리거하는 데 필요한 연속 데이터 포인트 수 변경: 지표 데이터 급증으로 인해 거짓 경보가 자주 발생하면 이 설정을 사용하여 경보를 발생하기 전에 여러 개의 연속 데이터 포인트가 이상으로 나타나도록 요구할 수 있습니다.
- ML Detect 신뢰도 변경: 거짓 긍정이 만성적으로 나타나는 경우 경보에 대한 탐지를 더 높은 신뢰도로 조정하면 됩니다. LOW, MEDIUM, HIGH 신뢰도 수준 중에서 선택할 수 있습니다. HIGH 신뢰도는 경보 민감도/볼륨이 낮은 상태, MEDIUM 신뢰도는 경보 민감도/볼륨이 보통 상태, LOW 신뢰도는 경보 민감도/볼륨이 높은 상태를 나타냅니다.
- 경보 억제: 특정 작업을 종료할 때 거짓 긍정이 나타나는 것처럼 일회적인 경우(예: OTA 작업) 경보를 억제하도록 관련 ML Detect 동작을 업데이트할 수 있습니다. 또한, AWS IoT Device Defender는 기본 구성의 변경을 옵트인하지 않는 한, 기본 ML Detect 보안 프로필 설정에서 기본적으로 경보를 [억제(suppressed)]로 설정합니다.
Q. AWS IoT Device Defender를 사용할 수 있는 AWS 리전은 어디입니까?
AWS IoT Device Defender가 지원되는 현재 리전 목록은 AWS 리전 표를 참조하십시오.
위의 AWS 리전 중 하나에 액세스할 수만 있다면 사용자의 지리적 위치와 상관없이 AWS IoT Device Defender를 사용할 수 있습니다.
Q. AWS IoT Device Defender는 AWS 프리 티어에 포함됩니까?
예. 자세한 내용은 AWS IoT Device Defender 요금 페이지를 참조하십시오.
Q. AWS IoT Device Defender의 요금은 얼마인가요?
감사, Rules Detect 또는 ML Detect 기능은 모두 별도로 요금이 부과되므로 독립적으로 사용할 수 있습니다. 자세한 내용은 AWS IoT Device Defender 요금 페이지를 참조하세요.
Q. AWS IoT Device Defender를 사용할 때 탐지 지표를 보고하려면 AWS IoT Core 메시지 비용을 지불해야 합니까?
아니요. 디바이스 측 탐지 지표를 AWS IoT Device Defender로 보고하는 데 사용되는 메시지에 대한 비용을 지불할 필요가 없습니다.
Q. AWS IoT Device Defender를 사용할 때 탐지 지표를 보고하려면 AWS IoT Core 연결 비용을 지불해야 합니까?
예. 디바이스 측 탐지 지표를 AWS IoT Device Defender로 보고하는 목적으로만 AWS IoT Core를 연결하는 경우 연결 비용을 지불해야 합니다. 자세한 내용은 AWS IoT Core 요금 페이지를 참조하십시오.
Q. 내 디바이스가 예상대로 동작하려면 AWS IoT Device Defender에서 어떤 값을 설정해야 하는지 어떻게 알 수 있습니까?
Rules Detect를 사용하는 경우 먼저 예상되는 제한 동작(예: 낮은 임계값)으로 보안 프로필을 생성하고 이를 대표 디바이스 세트의 사물 그룹에 연결합니다. AWS IoT Device Defender가 위반된 동작에 대해 디바이스에서 보고한 지표 데이터 포인트를 알려줍니다. 시간에 따른 사용 사례에 맞춰 디바이스 동작 임계값을 미세 조정할 수 있습니다.
ML Detect를 사용하는 경우 기능은 디바이스 활동을 모니터링하기 위해 기계 학습을 기반으로 디바이스 동작을 자동으로 설정합니다. AWS IoT Device Defender가 ML 모형이 데이터 포인트를 이상으로 플래그 지정한 경우 디바이스에서 보고한 지표 데이터 포인트를 알려줍니다. 이 경우 디바이스의 정확한 동작을 정의하지 않아도 되며, 모니터링을 더 빠르고 쉽게 시작할 수 있습니다.
더 많은 AWS IoT Device Defender 기능 알아보기