개요

• 조직에서 특정 분류를 충족하거나 특정 애플리케이션이나 워크로드, 환경과 연결된 데이터에 유휴 암호화가 필요할 수 있습니다.
• AWS 계정 내에서 EFS 파일 시스템이 생성될 때 유휴 시 데이터 암호화가 비활성화된 파일 시스템이 생성된다면 경보를 트리거할 수 있습니다.
• 파일 시스템 생성과 관련한 이벤트 로그는 CreateFileSystem입니다.

EFS 유휴 시 데이터 암호화 비활성화 파일 시스템 감지

• 본 글을 AWS 공식 문서 - 연습: 유휴 Amazon EFS 파일 시스템에 암호화 적용를 참고하여 작성되었습니다.

1. 추적 생성

[AWS] CloudWatch Logs로 CloudTrail 이벤트 로그 전송 방법를 참고하여 CloudTrail 콘솔에서 추적을 생성합니다. 이때 CloudWatch Logs로 이벤트 로그를 내보낼 수 있도록 활성화합니다.

2. 지표 필터 생성

추적을 생성하면서 CloudWatch Logs로 이벤트 로그를 내보내도록 활성화했다면 CloudWatch 로그 그룹에 추적과 관련한 로그 그룹이 생성되어 있을 것입니다.

CloudWatch 콘솔 > 로그 그룹 > 추적과 연결된 로그 그룹 선택 > 지표 필터 > 지표 필터 생성

필터 패턴 생성 단계에서 아래의 필터 패턴을 입력합니다.

{ ($.eventName = CreateFileSystem) && ($.responseElements.encrypted IS FALSE) } 

다음과 같이 구성하고 지표 필터를 생성합니다.

• 필터 이름 : UnencryptedFileSystemCreated
• 지표 네임스페이스 : CloudTrailMetrics
• 지표 이름 : UnencryptedFileSystemCreatedEventCount
• 지표 값 : 1

3. 경보 생성

생성된 지표 필터를 선택하고 경보 생성 버튼을 클릭합니다.

1분 동안 암호화가 비활성화된 파일 시스템이 생성되면 알람이 울리도록 합니다.

알림을 받을 SNS 주제를 생성합니다.
(이때, SNS 주제를 새로 생성했다면 반드시 해당 이메일에서 구독을 승인해야합니다)

경보를 생성합니다.

4. 테스트

EFS 콘솔로 접근해 파일 시스템을 하나 생성해보는데 이때 유휴 시 데이터 암호화 활성화를 체크 해제하고 생성해봅니다.

잠시 후 아래와 같이 경보 상태로 변경됩니다.

이메일을 확인해보면 아래와 같은 메일이 옵니다.

5. 리소스 삭제(정리)

이 과정을 통해 생성한 리소스 목록은 아래와 같습니다.

1. CloudTrail 추적
2. 추적으로 생성된 S3 버킷
3. CloudWatch 로그 그룹
4. 지표 필터에 대한 경보
5. SNS 주제
6. EFS 파일 시스템

해당 실습이 끝난 후 위 리소스 목록을 참고하여 불필요하다고 판단되는 리소스는 삭제하시면 됩니다.