AWS IoT Device Defender는 AWS IoT에 연결된 디바이스를 감사하고 모니터링하는 완전관리형 서비스입니다. 그리고 IoT 디바이스 플릿의 클라우드 구성을 평가하고, 규칙 기반 및 ML 기반 탐지 기능을 통해 디바이스 활동의 실시간 모니터링을 제공하며, 감사 위반이나 동작 이상이 식별될 때 경보를 트리거하고, 기본 제공 완화 조치로 빠르게 문제를 해결할 수 있습니다.
감사
AWS IoT Device Defender는 AWS IoT 보안 모범 사례(예: 최소 권한 원칙, 디바이스별 고유 자격 증명)를 기준으로 디바이스 관련 리소스(예: X.509 인증서, IoT 정책, 클라이언트 ID)를 감사합니다. AWS IoT Device Defender는 여러 디바이스에서 같은 자격 증명을 사용하거나 하나의 디바이스에서 여러 다른 디바이스의 데이터를 읽고 업데이트할 수 있도록 하는 지나치게 허용적인 정책과 같이 보안 모범 사례를 준수하지 않는 구성을 보고합니다.
규칙 탐지
AWS IoT Device Defender는 디바이스와 AWS IoT Core에서 고가치 보안 지표(예: 디바이스의 리스닝 TCP 포트 수 또는 인증 실패 횟수)를 지속적으로 모니터링하여 침해 지표가 될 수 있는 비정상적인 디바이스 동작을 탐지합니다. 이러한 지표에 대한 동작(규칙)을 설정함으로써 디바이스 그룹의 정상적인 디바이스 동작을 지정할 수 있습니다. AWS IoT Device Defender는 사용자가 정의한 동작(규칙)을 바탕으로 이러한 지표에 대해 보고된 각 데이터 포인트를 모니터링하고 평가하며 이상이 탐지되면 알려줍니다.
ML Detect
AWS IoT Device Defender는 기계 학습 모형을 기반으로 6개의 클라우드 측 지표(예: 권한 부여 실패 수, 메시지 전송 수)와 7개의 디바이스 측 지표(예: 패킷 출력, 수신 TCP 포트 수)를 모니터링 및 식별하고 이상이 탐지되면 경보를 트리거합니다. AWS IoT Device Defender를 사용하면 디바이스의 정확한 동작을 정의하지 않아도 되며, 이후 14일 동안의 디바이스 데이터를 사용하여 ML 모형에서 해당 동작을 자동으로 설정합니다. 그런 다음, 매일 모형을 재훈련하여(재훈련할 데이터 양이 충분한 경우) 최신 이후 14일을 기준으로 예상되는 디바이스 동작을 새로 고칩니다. ML Detect를 사용하면 모니터링을 쉽게 시작할 수 있습니다.
완화 조치
AWS IoT Device Defender에서는 기본 제공 완화 조치를 사용하여 사물 그룹에 사물 추가, 기본 정책 버전 대체, 디바이스 인증서 업데이트와 같은 단계를 감사 및 탐지 경보에서 수행할 수 있습니다.
알림
AWS IoT Device Defender는 Device Defender 경보를 수신하도록 SNS 주제를 구성한 경우 AWS IoT 콘솔, AWS IoT Device Defender API, Amazon CloudWatch 및 Amazon SNS에 경보를 게시합니다.
지표 통합
AWS IoT Device Defender ListMetricValues API를 사용하여 연결된 디바이스에서 공개 API를 통해 디바이스 측, 클라우드 측 및 사용자 지정 지표를 시각화하고 이러한 지표를 사용자 지정 대시보드로 간편하게 통합하여 배포의 전체적인 개요 정보를 확인할 수 있습니다. AWS IoT Device Management의 Fleet Hub로 데이터 시각화를 통합하여 표시할 수도 있습니다.
AWS IoT Device Defender 요금에 대해 자세히 알아보기