AWS Cloud
AWS GuardDuty
애드팍
2025. 3. 21. 12:48
728x90
Amazon GuardDuty는 AWS 계정과 인프라에서 발생하는 보안 위협을 자동으로 탐지하는 위협 감지(Threat Detection) 서비스입니다.
즉, EC2, IAM, S3, CloudTrail, VPC 흐름 로그 등을 모니터링하고 이상한 행위를 자동으로 감지하여 경고(Alert)를 주는 보안 서비스입니다.
🔹 주요 기능 요약
| 기능 | 설명 |
| 지능형 위협 탐지 | 머신러닝 + AWS 보안 인텔리전스를 기반으로 위협 분석 |
| 로그 기반 분석 | CloudTrail, VPC 흐름 로그, DNS 로그 등 자동 분석 |
| 이상 징후 탐지 | 비정상 API 호출, 의심스러운 IP 접속 등 감지 |
| S3 보안 모니터링 | S3에 대한 비정상 접근 시도 감지 (예: 퍼블릭 데이터 유출) |
| 자동 알림 | 위협 탐지 시 CloudWatch, SNS, EventBridge를 통해 알림 전송 가능 |
| 서버리스 | 설정만 하면 자동으로 동작, 에이전트 설치 불필요 |
📌 즉, GuardDuty는 AWS 내부에서 발생할 수 있는 해킹, 침입, 비정상 행위를 자동으로 감지해주는 보안 센서!
🔹 감지하는 대표적인 위협 예시
| 유형 | 예시 |
| IAM 이상 활동 | 루트 계정의 의심스러운 로그인 시도, 비정상 지역에서의 로그인 |
| EC2 감염 행위 | EC2 인스턴스에서 알려진 악성 IP로의 트래픽 발생 |
| S3 데이터 유출 시도 | 외부에서 무단으로 S3 버킷에 접근 시도 |
| Reconnaissance (정찰 행위) | 외부에서 포트 스캔, 서비스 검색 시도 |
| Credential Exfiltration | 자격 증명 탈취 후 내부 리소스 접근 시도 |
🔹 GuardDuty의 데이터 소스
- AWS CloudTrail → API 호출 기록
- VPC Flow Logs → 네트워크 트래픽 흐름
- Route 53 DNS Logs → 도메인 요청 내역
- S3 Data Events → 버킷 접근 기록 (선택적 활성화)
🔹 동작 구조
[CloudTrail / VPC Logs / DNS Logs / S3 Events]
↓
[Amazon GuardDuty 분석]
↓
[위협 발견] → [CloudWatch 또는 SNS 경고 전송]
📌 즉, GuardDuty는 로그 데이터를 실시간으로 분석하여 위협이 감지되면 알림을 발생시킴!
🔹 GuardDuty vs. AWS Config vs. AWS Inspector
| 항목 | GuardDuty | Config | Inspector |
| 기능 | 보안 위협 감지 | 리소스 상태 변경 추적 | 취약점 스캔 (보안성 점검) |
| 대상 | 로그 기반 공격 탐지 | 리소스 구성 변화 추적 | EC2, Lambda 등 |
| 알림 방식 | 이상 행위 발생 시 경고 | 규정 위반 시 경고 | 취약점 발견 시 경고 |
📌 즉, GuardDuty는 "이상 행위 탐지", Config는 "정책 위반 탐지", Inspector는 "취약점 분석"에 초점!
🔹 비용
- 분석된 로그 데이터 양(GB) 기준으로 과금됨
- S3 데이터 이벤트 모니터링을 활성화하면 별도 과금 발생
📌 사용량이 적은 경우에는 비용이 매우 저렴하지만, 대량 트래픽 환경에서는 비용 최적화 필요.
🚀 시험 대비 핵심 요약
1️⃣ GuardDuty는 AWS 리소스에 대한 위협을 탐지하는 보안 감시 서비스
2️⃣ CloudTrail, VPC 흐름 로그, DNS 로그를 분석하여 자동으로 경고 생성
3️⃣ 에이전트 설치 없이 서버리스 방식으로 동작
4️⃣ 비정상 API 사용, 악성 IP 접속, S3 접근 이상 등을 자동으로 탐지
5️⃣ CloudWatch, EventBridge와 연동하여 알림 및 자동 대응 설정 가능
💡 즉, GuardDuty는 AWS 리소스를 "실시간으로 감시"하고 "비정상 행위를 감지"해주는 똑똑한 보안 시스템! 🔐🚀
728x90