Amazon GuardDuty, EKS 클러스터로 Extended Threat Detection 적용 범위 확대

Amazon Elastic Kubernetes Service(Amazon EKS)의 적용 범위를 확대한 Amazon GuardDuty Extended Threat Detection을 발표하게 되어 기쁩니다. 이 서비스는 2024년 AWS re:Invent에서 발표한 Amazon GuardDuty Extended Threat Detection: 클라우드 보안 강화를 위한 AI/ML 공격 시퀀스 식별을 통해 소개했던 기능을 기반으로 구축되었습니다.

Kubernetes 워크로드를 관리하는 보안 팀은 컨테이너화된 애플리케이션을 표적으로 하는 정교한 다단계 공격을 탐지하는 데 어려움을 겪는 경우가 많습니다. 이러한 공격에는 컨테이너를 악용하고, 권한을 에스컬레이션하고, Amazon EKS 클러스터 내에서 무단으로 이동하는 등의 수법이 사용됩니다. 기존의 모니터링 접근 방식은 의심스러운 개별 이벤트는 탐지할 수 있지만, 이처럼 다양한 데이터 소스와 기간에 걸친 광범위한 공격 패턴은 놓치는 경우가 많습니다.

GuardDuty Extended Threat Detection은 Amazon EKS 감사 로그, EKS 클러스터와 관련한 프로세스의 런타임 동작, EKS 클러스터에서의 맬웨어 실행, AWS API 활동 전반의 보안 신호에서 상관관계를 자동으로 분석하여 다른 방법으로는 알아차리지 못할 수도 있는 정교한 공격 패턴을 식별하는 새로운 위험 심각도 탐지 유형을 적용합니다. 예를 들어 이제 GuardDuty는 위협 행위자가 컨테이너 애플리케이션을 악용하고 권한 있는 서비스 계정 토큰을 획득한 다음 이러한 승격된 권한을 사용하여 민감한 Kubernetes 암호 또는 AWS 리소스에 액세스하는 공격 시퀀스를 탐지할 수 있습니다.

이 새로운 기능은 GuardDuty 상관관계 알고리즘을 사용하여 잠재적 침해를 시사하는 일련의 동작을 관찰하고 식별합니다. 보호 계획 및 기타 신호 소스 전반의 조사 결과를 평가하여 일반적이고 새로운 공격 패턴을 식별합니다. GuardDuty는 탐지된 각 공격 시퀀스에 대해 잠재적으로 영향을 받을 수 있는 리소스, 이벤트 타임라인, 관련 행위자, 시퀀스 탐지에 사용되는 지표 등 포괄적인 세부 정보를 제공합니다. 또한 이 조사 결과는 관찰된 활동을 MITRE ATT&CK® 전술과 기법, 그리고 AWS 모범 사례를 기반으로 한 문제 해결 권장 사항에 매핑하여 보안 팀이 위협의 특성을 이해하는 데 도움을 줍니다.

EKS의 확장된 위협 탐지를 활성화하려면 EKS Protection 또는 런타임 모니터링 기능 중 하나 이상을 활성화해야 합니다. 탐지 범위를 최대화하려면 두 기능을 모두 활성화하여 탐지 기능을 강화하는 것이 좋습니다. EKS Protection은 감사 로그를 통해 컨트롤 플레인 활동을 모니터링하고 런타임 모니터링은 컨테이너 내의 동작을 관찰합니다. 이를 통해 EKS 클러스터에 대한 완전한 가시성을 제공하여 GuardDuty가 복잡한 공격 패턴을 탐지할 수 있게 합니다.

작동 방식
EKS 클러스터를 위한 새로운 Amazon GuardDuty Extended Threat Detection을 사용하려면 GuardDuty 콘솔로 이동하여 계정에서 EKS Protection을 활성화합니다. 오른쪽 상단의 리전 선택기에서 EKS 보호를 활성화하려는 리전을 선택합니다. 탐색 창에서 EKS Protection을 선택합니다. EKS Protection 페이지에서 현재 상태를 검토하고 활성화를 선택합니다. 확인을 선택하여 선택 내용을 저장합니다.

활성화되면 GuardDuty는 추가 구성 없이 EKS 클러스터에서 EKS 감사 로그를 즉시 모니터링하기 시작합니다. GuardDuty는 독립 스트림을 통해 EKS 컨트롤 플레인에서 직접 이러한 감사 로그를 사용하며, 이는 기존 로깅 구성에 영향을 미치지 않습니다. 다중 계정 환경의 경우 위임된 GuardDuty 관리자 계정만 멤버 계정에 대해 EKS Protection을 활성화 또는 비활성화하고 조직에 참여하는 새 계정에 대한 자동 활성화 설정을 구성할 수 있습니다.

런타임 모니터링을 활성화하려면 탐색 창에서 런타임 모니터링을 선택합니다. 구성 탭에서 활성화를 선택하여 계정에 대한 런타임 모니터링을 활성화합니다.

이제 요약 대시보드에서, 특히 Kubernetes 클러스터 침해와 관련한 공격 시퀀스와 중요 조사 결과를 볼 수 있습니다. GuardDuty가 Kubernetes 환경의 복잡한 공격 패턴(예: 자격 증명 침해 이벤트 및 EKS 클러스터 내의 의심스러운 활동)을 식별하는 것을 확인할 수 있습니다. 심각도, 리소스에 미치는 영향, 공격 유형별로 조사 결과를 시각적으로 표현하면 Amazon EKS 보안 태세를 전반적으로 파악할 수 있습니다. 따라서 컨테이너화된 워크로드에 대한 가장 심각한 위협의 우선순위를 정할 수 있습니다.

조사 결과 세부 정보 페이지는 EKS 클러스터를 표적으로 하는 복잡한 공격 시퀀스에 대한 가시성을 제공하므로 잠재적 침해의 전체 범위를 파악하는 데 도움이 됩니다. GuardDuty는 신호를 타임라인과 대조하여 분석함으로써 관찰된 행동을 계정 조작, 리소스 하이재킹, 권한 에스컬레이션과 같은 MITRE ATT&CK® 전술 및 기법에 매핑합니다. 이 세분화된 수준의 인사이트는 공격자가 Amazon EKS 환경에서 어떻게 공격을 진행하는지 정확히 보여줍니다. EKS 워크로드 및 서비스 계정과 같은 영향을 받는 리소스를 식별합니다. 지표, 행위자 및 엔드포인트에 대한 상세한 분석을 통해 공격 패턴을 이해하고, 영향을 파악하고, 문제 해결의 우선순위를 정하는 데 유용한 컨텍스트를 제공합니다. 이러한 보안 인사이트를 통합 보기로 보여줌으로써, Amazon EKS 보안 사고의 심각도를 신속하게 평가하고, 조사 시간을 단축하고, 컨테이너화된 애플리케이션을 보호하기 위한 표적 대응 조치를 구현하도록 지원합니다.

조사 결과 세부 정보 페이지의 리소스 섹션에는 공격 시퀀스 동안 영향을 받은 특정 자산에 대한 컨텍스트가 표시됩니다. 이 통합 리소스 목록을 통해 최초 액세스부터 대상 Kubernetes 구성 요소에 이르기까지, 침해의 정확한 범위를 파악할 수 있습니다. GuardDuty에는 리소스 유형, 식별자, 생성 날짜, 네임스페이스 정보 등의 세부 속성이 포함되어 있으므로, 즉각적인 주의가 필요한 컨테이너화된 인프라 구성 요소를 빠르게 평가할 수 있습니다. 이러한 집중형 접근 방식을 사용하면 인시던트 대응 과정에서 추측에 의존하지 않아도 되므로, 영향을 받는 가장 중요한 리소스에 대한 문제 해결을 우선적으로 수행하고 Amazon EKS 표적 공격의 잠재적 피해 범위를 최소화할 수 있습니다.

정식 출시
Amazon EKS 클러스터의 적용 범위를 확대한 Amazon GuardDuty Extended Threat Detection은 Kubernetes 환경 전반에 걸쳐 포괄적인 보안 모니터링을 제공합니다. 이 서비스를 사용하면 다양한 데이터 소스에서 발생하는 이벤트의 상관관계를 파악하고 기존 모니터링에서 놓칠 수 있는 공격 시퀀스를 식별하여 정교한 다단계 공격을 탐지할 수 있습니다.

이 확장된 적용 범위를 이용하려면 GuardDuty 설정에서 EKS Protection을 활성화하고 향상된 탐지 기능을 위한 런타임 모니터링을 추가하는 것이 좋습니다.

이 새로운 기능에 대한 자세한 내용은 Amazon GuardDuty 설명서를 참조하세요.

– Esra