AWS Config는 AWS 리소스의 설정 변경을 기록하고 보안 및 규정 준수를 위해 자동화된 모티너링을 제공하는 서비스입니다.
이를 통해 리소스 변경 사항을 추적하고 , 규정 위반 상황을 감지할 수 있습니다.
1. 주요 기능
1. 리소스 구성 추적(Configuration Tracking)
- AWS 리소스의 현재 상태와 변경 이력을 기록합니다.
- 예 : EC2 보안 그룹 규칙 변경, S3 버킷 정책 변경
2. 규정 준수 검사(Compliance Auditing)
- 미리 정의된 규칙과 리소스 구성을 비교하여 규정 준수 상태를 평가합니다.
- 예 : S3 버킷이 공새적으로 접근 가능한지 확인
3. 알림 기능(Change Notification)
- 리소스 상태가 변경될 때 SNS를 통해 알림을 전송합니다.
4. 데이터 저장 및 분석
- 리소스 구성 데이터를 S3에 저장하고 Athena로 쿼리해 분석할 수 있습니다.
2. AWS Config가 해결하는 질문
1. 보안 관련
- 내 보안 그룹에 SSH(22번 포트)가 열려있나요?
- 내 S3 버킷이 퍼블릭 액세스를 허용하나요?
2. 변경 이력 추적
- ALB(Application Load Balancer)의 설정 시간이 지나며 어떻게 바뀌었나요?
3. 규정 준수 확인
- 특정 리소스가 규정에 맞지 않는 구성을 가지는 경우를 탐지
3. 주요 특징
1. 지역 기반 서비스(Per-Region Service)
- AWS Config는 리전별로 동작하며, 필요하면 여러 리전 및 계정을 통합하여 데이터를 볼 수 있습니다.
2. 구성 변경 기록
- 모든 리소스 구성의 변경사항을 자동으로 기록하고, 누가 어떤 작업을 했는지 추적 가능
3. 규정 준수 상태 평가
- 미리 정의된 규칙을 사용하거나 Custom Rules를 설정하여 리소스의 규정 준수 상태 평가
4. 통합 가능성
- 변경 데이터를 S3에 저장하거나 SNS로 알림을 받을 수 있습니다.
- 저장된 데이터를 Athena로 분석가능
결론
AWS Config는 클라우드 보안과 규정 준수를 강화하기 위한 필수 도구입니다.
리소스 변경 사항을 기록하고 규정을 위반한 설정을 실시간으로 감지하며, 이를 통해 AWS 환경에서 안정성, 보안성, 가시성을 크게 향상시킬 수 있습니다.
아는 만큼 보인다