[TECH UP] SIEM (OpenSearch + WAF)
1. SIEM (OpenSearch + WAF) 개요
- SIEM (Security Information & Event Management)
다양한 로그와 이벤트를 수집·분석하여 보안 위협을 탐지하고 대응하는 시스템
- OpenSearch + AWS WAF 연동 구조
- Amazon Kinesis Data Firehose → S3 → OpenSearch로 로그 전송
- WAF의 웹 공격 로그를 실시간 수집 및 분석 가능
- 활용 목적
- 웹 공격 패턴 탐지
- 비정상 접근 모니터링
- WAF 정책 튜닝 및 경보 자동화
2. OpenSearch 기반 SIEM 구성 흐름
- AWS WAF 로그 수집
- WAF Access Logs를 Kinesis Data Firehose로 전송
- S3 저장소
- Firehose가 로그를 압축 및 암호화 후 S3 버킷에 저장
- OpenSearch
- S3에서 데이터를 자동으로 인덱싱해 실시간 검색 가능
- 시각화 및 탐지
- OpenSearch Dashboards에서 공격 트렌드 및 IP 차단 현황 시각화
3. 참고 리포지토리 (구성 가이드)
4. AWS 보안 사고와 책임 공유 모델
(1) 오해
- “AWS에서 사고가 났으니 AWS가 책임져야 한다”는 인식은 잘못된 접근임
(2) AWS의 입장 — 책임공유모델 (Shared Responsibility Model)
- AWS의 책임 (Security of the Cloud)
- 물리적 인프라: 데이터센터, 네트워크, 하드웨어, 가상화 환경 보호
- 클라우드 인프라의 가용성과 안정성 보장
- 고객의 책임 (Security in the Cloud)
- 계정 및 접근 제어 (IAM, MFA 등)
- 데이터 암호화, 백업, 로그 관리
- 서비스 구성 및 네트워크 보안 정책 설정
5. OpenSearch + WAF SIEM 구성의 의미
- AWS 책임 영역(Infra)은 AWS가 관리하지만,
보안 로그 수집·분석 및 탐지는 고객의 책임 영역에 해당
- SIEM을 통해 고객은 다음을 수행할 수 있음:
- 보안 이벤트의 가시성 확보
- 공격 패턴 분석 및 대응 자동화
- 감사 및 컴플라이언스 보고 지원
