Amazon OpenSearch Service를 통해 검색 및 로그 분석 데이터를 감사하고 보호하기
인증, 권한 부여, 암호화, 감사, 규제 준수에 대한 보안 요구 사항을 충족하고 유지하세요.
대량의 데이터를 기반으로 하는 분석 솔루션은 특히 보안 위험과 침해에 취약합니다. 다음과 같은 기능을 갖춘 강력한 보안 및 규정 준수 솔루션이 필요합니다.
- 민감한 워크로드를 안정적으로 호스트함
- 기밀 데이터에 대한 액세스를 보호하고 제한함
- 타사 ID 공급자와 통합함
- 저장 데이터 및 전송 데이터 보호
- 사용자 활동 및 구성 업데이트 감사
- 사용자 지정 애플리케이션 및 기타 AWS 서비스에 대한 프로그램 액세스 구성
OpenSearch의 주요 보안 기능
인증 및 권한 부여
기본 SAML 지원, AWS Cognito, AWS IAM 등을 포함한 인증 및 인증 방법을 사용하여 사용자에게 안전한 액세스를 제공합니다. 자세한 내용은 대시보드와 함께 SAML 사용 및 자격 증명 및 액세스 관리를 참조하세요.
암호화
군사 등급 AES-256 AWS Key Management Service(KMS) 키를 사용하여 디스크, 로그 파일 및 자동 스냅샷의 데이터를 암호화하여 공격자로부터 데이터를 보호합니다. TLS 1.2를 사용하여 노드 간에 전송 중인 데이터를 암호화합니다.
세분화된 액세스 제어
AWS IAM 정책 또는 세분화된 액세스 제어와 같은 하나 이상의 액세스 제어 기능을 사용하여 사용자가 비즈니스 데이터를 쿼리하고 클러스터 구성을 모니터링할 수 있도록 제어되고 예측 가능한 방법을 제공합니다.
액세스 정책 및 네트워크 격리
AWS 자격 증명 및 리소스 정책을 사용하여 자격 증명 및 리소스를 특정 허용/거부 작업에 연결하여 도메인에 대한 경계를 보호합니다. 알려진 엔티티로부터의 트래픽만 허용하도록 Amazon Virtual Private Cloud(VPC) 및 Amazon VPC Security Group을 사용하여 논리적으로 격리된 네트워크를 생성합니다.
로깅 및 규정 준수 감사
도메인에 대한 구성 변경 사항을 모니터링하고, 사용자 활동을 추적하며, 자세한 연결 속성을 포함한 데이터에 대한 감사 요청을 수행합니다. AWS CloudTrail 로깅 및 OpenSearch 감사 로그를 사용하여 구성 API의 사용 및 데이터에 대한 요청을 모니터링할 수 있습니다.
보안 업그레이드 및 패치
보안 취약점으로부터 데이터를 보호 버전 업그레이드 필요성을 최소화하기 위해 OpenSearch Service는 지원되는 모든 버전의 OpenSearch 및 Elasticsearch에 대해 역호환 보안 패치 및 업그레이드를 제공합니다.
인덱스, 문서 및 필드 보안
고급 보안 제어를 사용하여 민감한 데이터나 기밀 데이터에 안전하게 액세스할 수 있습니다. 인덱스, 문서 또는 필드 수준의 보안을 사용하여 특정 인덱스, 문서 또는 필드에 대한 액세스를 제한합니다.
프로그래밍 방식 액세스(Programmatic access) 보호
AWS SDK를 사용하여 전송된 Sigv4 서명 요청을 사용하거나 AWS Command Line Interface (CLI)를 사용하여 OpenSearch 도메인과 안전하게 통신합니다.
규정 준수 및 거버넌스 활성화
조직의 엄격한 규정 준수 및 거버넌스 요구사항을 충족합니다. Amazon OpenSearch Service는 HIPAA, FedRAMP, DoD CC SRG, SOC, PCI, ISO 및 CSA STAR, FIPS 140-2를 비롯한 여러 산업 표준 규정 준수 프로그램의 일부입니다.
보안 분석
형식이 다른 여러 소스에서 로그를 수집한 후 보안 로그 데이터를 정규화하고 비교합니다.
리소스
OpenSearch을 위한 공개 로드맵
AWS Data Lab은 고객과 AWS 기술 리소스 사이에서 빠른 협업 엔지니어링 참여를 제공하여 데이터 및 분석 현대화 이니셔티브를 가속화하는 유형의 결과물을 얻습니다.
AWS Data & Analytics 교육 및 인증을 통해 기술을 구축하고 전문성을 검증할 수 있습니다.
보안 분석이란 무엇인가요?
블로그
Amazon OpenSearch Service의 보안 분석 기능을 사용하여 비즈니스에 대한 보안 위협을 식별하고 해결
작성자: Kevin Fallis, Jimish Shah, 2023년 3월 14일
Amazon OpenSearch Service의 필드 수준 보안
작성자: Satyanarayana Adimula, 2022년 11월 8일
Amazon OpenSearch를 사용하여 Active Directory 이벤트 로그 분석
작성자: Pavankumar Kasani, Ashok Srirama, Rushikesh Jagtap, 2022년 7월 13일
Okta를 이용해 Amazon OpenSearch Service를 위한 SAML 페더레이션 구축
작성자: Raghavarao Sodabathina, Jana Gnanachandran, Rudy Collado, 2022년 4월 21일
SIEM용 AWS Security Hub 및 Amazon OpenSearch Service를 사용하는 방법
작성자: Ely Kahn, Aashmeet Kalra, Grant Joslyn, Akihiro Nakajima, Anthony Pasquariello, 2022년 3월 21일
Amazon Elasticsearch Service에서 AD FS를 사용하여 Kibana용 SAML Single Sign-On 구성
작성자: Sajeev Attiyil Bhaskaran, Jagadeesh Pusapadi, 2021년 7월 9일
보안 FAQ
Q: 내 Amazon OpenSearch Service 도메인을 보호하려면 어떻게 해야 하나요?
Amazon OpenSearch Service는 여러 보안 기능을 제공하며, HIPAA 적격 서비스로, PCI DSS, SOC, ISO 및 FedRamp 표준을 준수하므로, 사용자의 보안 및 규정 준수 요구 사항을 충족할 수 있습니다. 도메인 생성 및 확장과 같은 작업의 Amazon OpenSearch Service 관리 API에 대한 액세스는 AWS Identity and Access Management(IAM) 정책으로 제어합니다.
Amazon OpenSearch Service 도메인은 인터넷에 액세스 가능한 퍼블릭 엔드포인트 또는 VPC 내 엔드포인트를 통해 액세스할 수 있도록 구성할 수 있습니다. VPC 엔드포인트에 대한 네트워크 액세스는 보안 그룹으로 제어하며, 퍼블릭 엔드포인트의 경우 IP 주소로 액세스 권한을 부여하거나 제한할 수 있습니다.
네트워크 기반 액세스 제어 외에도, Amazon OpenSearch Service는 사용자 이름 및 암호를 사용하는 기본 인증과 IAM을 통해 사용자 인증을 제공합니다. 권한은 도메인 수준(도메인 액세스 정책 사용)은 물론, 색인, 문서 및 필드 수준(OpenSearch에서 지원하는 세분화된 액세스 제어 기능 사용)으로 부여할 수 있습니다. 또한 세분화된 액세스 제어 기능은 읽기 전용 보기 및 보안 멀티테넌트 지원을 통해 OpenSearch 대시보드 및 Kibana를 확장합니다.
Amazon OpenSearch Service는 Amazon Cognito와의 통합도 지원하여 최종 사용자가 SAML 2.0, Amazon Cognito 사용자 풀 등을 사용하는 Microsoft Active Directory와 같은 엔터프라이즈 ID 공급자를 통해 OpenSearch 대시보드 및 Kibana에 로그인할 수 있도록 허용합니다. 로그인하면 Amazon Cognito에서 적절한 IAM 보안 주체를 사용하여 세션을 설정함으로써 Amazon OpenSearch Service 도메인에 대한 액세스를 제공합니다. 그러면 이러한 IAM 보안 주체를 OpenSearch에서 지원하는 세분화된 액세스 제어 기능에서 사용할 수 있습니다.
Q: Amazon OpenSearch Service에서 보안 인증 및 권한 부여 작업을 수행하려면 어떻게 해야 하나요?
Amazon OpenSearch Service 보안은 네트워크, 도메인 액세스 정책 및 세분화된 액세스 제어와 같은 세 가지 기본 계층으로 구성됩니다. 첫 번째 보안 계층은 네트워크로, 도메인에 요청이 도달하는지 여부를 결정합니다. AWS에서는 VPC의 특정 보안 그룹으로 제한되는 VPC 액세스 또는 인터넷을 통한 퍼블릭 액세스를 지원합니다. 두 번째 보안 계층은 도메인 액세스 정책입니다. 도메인 엔드포인트에 요청이 도달하면 도메인 액세스 정책에서 지정된 URL에 대한 요청 액세스를 허용하거나 거부합니다. 도메인 액세스 정책은 요청이 OpenSearch/Elasticsearch 자체에 도달하기 전에 도메인 경계에서 요청을 승인하거나 거부합니다. 마지막 세 번째 보안 계층은 세분화된 액세스 제어입니다. 도메인 액세스 정책에서 도메인 엔드포인트에 요청이 도달하도록 허용한 이후 세분화된 액세스 제어에서 사용자 자격 증명을 평가하고 사용자를 인증하거나 요청을 거부합니다. 세분화된 액세스 제어에서 사용자를 인증하는 경우 해당 사용자에게 매핑된 모든 역할을 가져오고 전체 권한 세트를 사용하여 사용자가 액세스할 수 있는 데이터를 결정합니다.
Q: Amazon OpenSearch Service는 암호화를 지원하나요?
예, Amazon OpenSearch Service는 AWS Key Management Service(KMS), TLS에서 노드 간 암호화 및 클라이언트에 HTTPS와의 통신 요청 기능을 통해 저장 중 암호화를 지원합니다. 저장 중 암호화는 샤드, 로그 파일, 스왑 파일 및 자동화된 S3 스냅샷을 암호화합니다. AWS 관리형 키를 사용하거나 사용자 키 중 하나를 선택할 수 있습니다. 노드 간 암호화는 노드 사이의 모든 통신에 대해 TLS를 활성화합니다. Amazon OpenSearch Service는 도메인 수명 동안 인증서를 자동으로 배포하고 순환시킵니다. 클라이언트가 HTTPS에서 통신해야 하는 경우 최소 TLS 버전을 지정하는 기능도 제공됩니다.
Q: Amazon OpenSearch Service 도메인에 대한 VPC 액세스를 설정하는 경우, OpenSearch 대시보드 및 Kibana에 액세스하려면 어떻게 해야 합니까?
VPC 액세스가 활성화되면, Amazon OpenSearch Service의 엔드포인트는 고객 VPC 내에서만 액세스할 수 있게 됩니다. VPC 외부에서 노트북을 사용해 OpenSearch 대시보드 및 Kibana에 액세스하려면, VPN 또는 VPC Direct Connect를 사용하여 노트북을 VPC에 연결해야 합니다.