Integrity 영어 뜻
정직(honesty), 도덕성(morality), 완전성(completeness), 일관성(consistency)
예: "She is known for her integrity and honesty in all her dealings."
(그녀는 모든 일에서 정직하고 도덕적인 모습으로 알려져 있습니다.)
IT 분야에서 Integrity (무결성)란?
데이터/시스템이 원래 상태에서 손상, 변경, 삭제되지 않고 일관된 상태를 정확하게 유지하고 있음을 뜻한다.
예: "The integrity of the database ensures accurate information retrieval."
(데이터베이스의 무결성은 정확한 정보 검색을 보장합니다.)
CloudTrail (로그 파일 무결성 검증)
Log File Integrity Validation
CloudTrail의 Integrity Validation는 로그 파일이 변경되거나 삭제되지 않았음을 보장하기 위한 기능이다.
CloudTrail이 주기적으로 "Digest File(다이제스트 파일)"을 생성하여 S3에 저장한다. Digest File은 특정 로그 파일이 변조되었는지 확인 가능하다.
이를 통해 로그 파일의 무결성(Integrity)을 검증(Validation)할 수 있다.
Log File Validation을 활성화(Enable)하면 CloudTrail이 생성한 모든 로그 파일에 대해 무결성 검증이 적용된다
Log File Integrity Validation 작동 방식
✅ 로그 파일 해시 생성
CloudTrail이 로그 파일을 생성할 때마다 Hash값을 만들어 저장한다.
Hash값은 로그 파일의 고유한 디지털 지문처럼 작동하여, 나중에 파일이 변조되지 않았는지 확인할 수 있다.
✅ Digest 파일 생성
CloudTrail은 매시간 지난 1시간 동안의 로그 파일에 대한 해시값 목록을 담은 다이제스트 파일을 생성한다.
Digest 파일을 통해 각 로그 파일의 해시값을 확인할 수 있다.
✅ 변조 검증
로그 파일의 Integrity(무결성)을 검증하기 위해, Digest 파일과 실제 로그 파일을 비교한다.
파일이 변경되었다면 Hash값이 달라지므로, 변조 여부를 쉽게 확인할 수 있다.
Log File Integrity Validation 설정 방법
🔎 AWS Management Console
CloudTrail Console → Create/Update "trail" → Yes for the Enable log file validation option
🔎 AWS CLI 명령어
aws cloudtrail update-trail --name your-trail-name --enable-log-file-validation
<공식 AWS 문서>
Log File 검증하는 법
Log File Integrity Validation을 활성화한 뒤에 로그 파일이 진짜 조작/변조되지 않았는지 확인하는 방법
🔎 AWS CLI 명령어
aws cloudtrail validate-logs \
--trail-arn arn:aws:cloudtrail:<region>:<account-id>:trail/<trail-name> \
--start-time 2024-02-01T00:00:00Z \
--end-time 2024-02-05T23:59:59Z
결과 예시 (정상적인 로그)
Validation successful for <log_file_name>
결과 예시 (로그 변경됨)
Validation failed: Log file has been tampered with
🤔 문제
회사는 AWS CloudTrail을 사용하고 있으며, SysOps 관리자가 로그 파일이 삭제되거나 변경되지 않았음을 쉽게 확인할 수 있도록 보장하고 싶습니다.
SysOps 관리자가 이 요구 사항을 충족하기 위해 수행해야 할 작업은 무엇입니까?
- 로그 파일을 암호화하는 데 사용된 AWS Key Management Service(AWS KMS) 키에 대한 관리자 액세스를 부여합니다.
- Trail 생성 또는 업데이트 시 CloudTrail 로그 파일 무결성 검증(Log File Integrity Validation)을 활성화합니다.
- 로그 파일을 저장하는 버킷에 대해 Amazon S3 server access logging을 활성화합니다.
- 로그 파일을 다른 버킷으로 복제하도록 S3 버킷을 구성합니다.
정답
정답. 2번
🤔 문제
회사는 SysOps 관리자가 AWS CloudTrail 파일이 생성된 후 변조되지 않도록 보장해 달라고 요청했습니다. 현재 회사는 AWS Identity and Access Management (IAM)를 사용하여 특정 Trail에 대한 액세스를 제한하고 있습니다. 회사의 보안 팀은 각 파일의 무결성을 추적할 수 있어야 합니다.
이 요구 사항을 가장 효율적으로 충족하는 솔루션은 무엇입니까?
- 새로운 파일이 전달될 때마다 AWS Lambda 함수를 호출하는 Amazon EventBridge (Amazon CloudWatch Events) 규칙을 생성합니다. Lambda 함수는 파일에 대한 MD5 해시 검사를 수행하고 그 결과를 Amazon DynamoDB 테이블에 저장합니다. 보안 팀은 DynamoDB에 저장된 값을 사용하여 전달된 파일의 무결성을 검증할 수 있습니다.
- 새 파일이 CloudTrail 버킷에 전달될 때마다 호출되는 AWS Lambda 함수를 생성합니다. Lambda 함수는 파일에 대한 MD5 해시 검사를 수행하고 그 결과를 Amazon S3 객체의 태그로 저장합니다. 보안 팀은 태그의 정보를 사용하여 전달된 파일의 무결성을 검증할 수 있습니다.
- Amazon S3 버킷에서 CloudTrail 파일 무결성 기능을 활성화합니다. S3 버킷에 저장된 파일 무결성 로그에 대한 액세스 권한을 보안 팀에 부여하는 IAM Policy을 생성합니다.
- CloudTrail Trail에서 파일 무결성 기능을 활성화합니다. 보안 팀은 CloudTrail에서 생성된 다이제스트 파일을 사용하여 전달된 파일의 무결성을 검증할 수 있습니다.
정답
정답 4번
'클라우드(AWS) > SOA-C02' 카테고리의 다른 글
| [AWS] CloudFormation의 "Resources"와 "Parameters"란? 쉽게 정리 (Type, Properties) (0) | 2025.01.28 |
|---|---|
| [AWS] DLM(Data Lifecycle Manager)과 AWS Backup 차이점 비교 (0) | 2025.01.28 |
| [AWS] EFS를 EC2 인스턴스에 마운트(Mount)하는 방법 (0) | 2025.01.27 |
| IT 분야에서 "eviction" 뜻: 캐시 (Cache Eviction, ElastiCache) (0) | 2025.01.25 |
| [AWS] Service Catalog란? 쉽게 정리 (feat. CloudFormation) (0) | 2025.01.24 |
Integrity 영어 뜻
정직(honesty), 도덕성(morality), 완전성(completeness), 일관성(consistency)
예: "She is known for her integrity and honesty in all her dealings."
(그녀는 모든 일에서 정직하고 도덕적인 모습으로 알려져 있습니다.)
IT 분야에서 Integrity (무결성)란?
데이터/시스템이 원래 상태에서 손상, 변경, 삭제되지 않고 일관된 상태를 정확하게 유지하고 있음을 뜻한다.
예: "The integrity of the database ensures accurate information retrieval."
(데이터베이스의 무결성은 정확한 정보 검색을 보장합니다.)
CloudTrail (로그 파일 무결성 검증)
Log File Integrity Validation
CloudTrail의 Integrity Validation는 로그 파일이 변경되거나 삭제되지 않았음을 보장하기 위한 기능이다.
CloudTrail이 주기적으로 "Digest File(다이제스트 파일)"을 생성하여 S3에 저장한다. Digest File은 특정 로그 파일이 변조되었는지 확인 가능하다.
이를 통해 로그 파일의 무결성(Integrity)을 검증(Validation)할 수 있다.
Log File Validation을 활성화(Enable)하면 CloudTrail이 생성한 모든 로그 파일에 대해 무결성 검증이 적용된다
Log File Integrity Validation 작동 방식
✅ 로그 파일 해시 생성
CloudTrail이 로그 파일을 생성할 때마다 Hash값을 만들어 저장한다.
Hash값은 로그 파일의 고유한 디지털 지문처럼 작동하여, 나중에 파일이 변조되지 않았는지 확인할 수 있다.
✅ Digest 파일 생성
CloudTrail은 매시간 지난 1시간 동안의 로그 파일에 대한 해시값 목록을 담은 다이제스트 파일을 생성한다.
Digest 파일을 통해 각 로그 파일의 해시값을 확인할 수 있다.
✅ 변조 검증
로그 파일의 Integrity(무결성)을 검증하기 위해, Digest 파일과 실제 로그 파일을 비교한다.
파일이 변경되었다면 Hash값이 달라지므로, 변조 여부를 쉽게 확인할 수 있다.
Log File Integrity Validation 설정 방법
🔎 AWS Management Console
CloudTrail Console → Create/Update "trail" → Yes for the Enable log file validation option
🔎 AWS CLI 명령어
aws cloudtrail update-trail --name your-trail-name --enable-log-file-validation
<공식 AWS 문서>
Log File 검증하는 법
Log File Integrity Validation을 활성화한 뒤에 로그 파일이 진짜 조작/변조되지 않았는지 확인하는 방법
🔎 AWS CLI 명령어
aws cloudtrail validate-logs \
--trail-arn arn:aws:cloudtrail:<region>:<account-id>:trail/<trail-name> \
--start-time 2024-02-01T00:00:00Z \
--end-time 2024-02-05T23:59:59Z
결과 예시 (정상적인 로그)
Validation successful for <log_file_name>
결과 예시 (로그 변경됨)
Validation failed: Log file has been tampered with
🤔 문제
회사는 AWS CloudTrail을 사용하고 있으며, SysOps 관리자가 로그 파일이 삭제되거나 변경되지 않았음을 쉽게 확인할 수 있도록 보장하고 싶습니다.
SysOps 관리자가 이 요구 사항을 충족하기 위해 수행해야 할 작업은 무엇입니까?
- 로그 파일을 암호화하는 데 사용된 AWS Key Management Service(AWS KMS) 키에 대한 관리자 액세스를 부여합니다.
- Trail 생성 또는 업데이트 시 CloudTrail 로그 파일 무결성 검증(Log File Integrity Validation)을 활성화합니다.
- 로그 파일을 저장하는 버킷에 대해 Amazon S3 server access logging을 활성화합니다.
- 로그 파일을 다른 버킷으로 복제하도록 S3 버킷을 구성합니다.
정답
정답. 2번
🤔 문제
회사는 SysOps 관리자가 AWS CloudTrail 파일이 생성된 후 변조되지 않도록 보장해 달라고 요청했습니다. 현재 회사는 AWS Identity and Access Management (IAM)를 사용하여 특정 Trail에 대한 액세스를 제한하고 있습니다. 회사의 보안 팀은 각 파일의 무결성을 추적할 수 있어야 합니다.
이 요구 사항을 가장 효율적으로 충족하는 솔루션은 무엇입니까?
- 새로운 파일이 전달될 때마다 AWS Lambda 함수를 호출하는 Amazon EventBridge (Amazon CloudWatch Events) 규칙을 생성합니다. Lambda 함수는 파일에 대한 MD5 해시 검사를 수행하고 그 결과를 Amazon DynamoDB 테이블에 저장합니다. 보안 팀은 DynamoDB에 저장된 값을 사용하여 전달된 파일의 무결성을 검증할 수 있습니다.
- 새 파일이 CloudTrail 버킷에 전달될 때마다 호출되는 AWS Lambda 함수를 생성합니다. Lambda 함수는 파일에 대한 MD5 해시 검사를 수행하고 그 결과를 Amazon S3 객체의 태그로 저장합니다. 보안 팀은 태그의 정보를 사용하여 전달된 파일의 무결성을 검증할 수 있습니다.
- Amazon S3 버킷에서 CloudTrail 파일 무결성 기능을 활성화합니다. S3 버킷에 저장된 파일 무결성 로그에 대한 액세스 권한을 보안 팀에 부여하는 IAM Policy을 생성합니다.
- CloudTrail Trail에서 파일 무결성 기능을 활성화합니다. 보안 팀은 CloudTrail에서 생성된 다이제스트 파일을 사용하여 전달된 파일의 무결성을 검증할 수 있습니다.
정답
정답 4번
'클라우드(AWS) > SOA-C02' 카테고리의 다른 글
| [AWS] CloudFormation의 "Resources"와 "Parameters"란? 쉽게 정리 (Type, Properties) (0) | 2025.01.28 |
|---|---|
| [AWS] DLM(Data Lifecycle Manager)과 AWS Backup 차이점 비교 (0) | 2025.01.28 |
| [AWS] EFS를 EC2 인스턴스에 마운트(Mount)하는 방법 (0) | 2025.01.27 |
| IT 분야에서 "eviction" 뜻: 캐시 (Cache Eviction, ElastiCache) (0) | 2025.01.25 |
| [AWS] Service Catalog란? 쉽게 정리 (feat. CloudFormation) (0) | 2025.01.24 |
