AWS의 CloudTrail과 Config 차이점
AWS CloudTrail과 AWS Config는 모두 AWS 리소스의 추적과 관리에 사용되지만, 그 목적과 기능에는 중요한 차이가 있습니다.
AWS CloudTrail
목적:
AWS 리소스에서 누가, 언제, 무엇을 했는지에 대한 기록(로그)을 제공합니다.
주요 기능:
1. API 호출 추적:
- AWS 계정에서 발생하는 API 호출 및 활동을 추적합니다.
- 예: S3 버킷에 업로드된 파일, EC2 인스턴스 시작/중지.
- 감사 및 법적 준수:
- 사용자 활동을 감사하고 규정을 준수하는 데 유용합니다.
- 예: 누가 특정 IAM 정책을 변경했는지 확인.
- 보안 분석:
- 의심스러운 활동(예: 예기치 않은 리전에서의 활동) 모니터링.
- 로그 저장 및 검색:
- CloudTrail 로그를 S3 버킷에 저장하여 장기 보관 및 분석 가능.
- 통합:
- Amazon CloudWatch와 통합하여 실시간 경고 생성 가능.
사용 예시:
- "누가 EC2 인스턴스를 종료했는가?"와 같은 질문에 답을 찾고 싶을 때 사용.
AWS Config
목적:
AWS 리소스의 구성 변경을 추적하고, 리소스가 특정 규정이나 정책에 맞는지 평가합니다.
주요 기능:
1. 리소스 상태 기록:
- 리소스의 구성 상태를 기록하고 변경 내역을 추적.
- 예: 보안 그룹에 추가/제거된 규칙.
- 규정 준수 평가:
- 리소스가 조직의 규정 준수 요구사항에 맞는지 확인.
- 예: 모든 S3 버킷이 암호화되어 있는지 확인.
- 시각화:
- 리소스 관계를 시각적으로 보여줌.
- 자동화된 규정 준수 관리:
- AWS Config 규칙을 사용해 자동으로 리소스를 평가.
- 예: 비공개 S3 버킷 규칙 설정 및 위반 시 알림.
- 드리프트 탐지:
- 리소스가 원래 의도한 상태에서 벗어났는지 탐지.
사용 예시:
- "이 S3 버킷이 암호화되어 있는지 확인하려면 어떻게 해야 하는가?" 또는 "현재의 보안 그룹 규칙은 무엇인가?"와 같은 질문에 답을 찾고 싶을 때 사용.
주요 차이점 비교
| 특징 | AWS CloudTrail | AWS Config |
|---|---|---|
| 목적 | API 호출 및 활동 추적 | 리소스 구성 상태 추적 및 규정 준수 평가 |
| 기록 대상 | API 호출(누가, 언제, 무엇을 했는지) | 리소스 구성 변경 및 현재 상태 |
| 주요 질문 | "누가 무엇을 했는가?" | "현재 상태가 정책에 부합하는가?" 또는 "구성이 어떻게 변경되었는가?" |
| 저장 위치 | S3 버킷(로그 저장) | Config 서비스 내에 데이터 저장 |
| 규정 준수 | 활동 기록 보관용 | 규정 준수 상태를 실시간 평가 |
| 실시간 모니터링 | CloudWatch와 통합해 경고 가능 | 리소스가 규정을 위반하면 즉시 경고 |
| 주요 출력물 | 로그 파일(S3에 저장된 JSON 형식) | 구성 상태 스냅샷 및 규정 준수 평가 결과 |
결론
- CloudTrail은 활동 추적과 보안 감사에 적합하며, Config는 구성 변경 및 규정 준수 상태 모니터링에 적합합니다.
- 두 서비스를 함께 사용하면 AWS 환경의 보안과 규정 준수 관리를 종합적으로 수행할 수 있습니다.
