[AWS] CloudTrail이 비활성화되었을 때 자동으로 다시 활성화하는 방법 (AWS Config 활용하기)

 

CloudTrail이 비활성화될 수 있는 상황

• 관리자가 실수로 비활성화
• 누군가 해킹을 통한 의도적인 비활성화
• 잘못된 스크립트로 인한 비활성화

CloudTrail을 비활성화되면 회사 전체의 Audit 관리 체계에 문제가 생길 수 있다.
그렇기 때문에 비활성화 되어도 자동으로 다시 활성화 시킬수 있도록 만들어야 한다.

 

---

 

 

AWS Config의 Auto Remediation(자동 복구 작업)

AWS Config의 Auto Remediation

AWS Config는 CloudTrail의 상태를 지속적으로 모니터링하고, 비활성화될 경우 자동으로 다시 활성화할 수 있다.

AWS Config

 

AWS Config Rule 생성

• AWS Config에서 Rule(규칙) 생성하기
• 규칙 생성 시 "AWS Managed Rules"에서 cloudtrail-enabled 를 선택.
  (이 규칙은 CloudTrail이 활성화 상태인지 확인한다.)

 

Auto Remediation 설정

• 생성된 규칙을 선택한 후 "Action" > "Manage remediation"
• "Remediation actions" 섹션으로 이동된다.
• 자동 복구(Autoatic Remediation) 작업으로 AWS-ConfigureCloudTrailLogging을 선택한다
  (이 작업은 CloudTrail 비활성화를 감지하면 즉시 로그를 다시 활성화한다)

 

 

작동 원리

– CloudTrail 비활성화(StopLogging) 이벤트가 발생하면 AWS Config의 Rule을 통해 이를 감지.
–  AWS Config에서 AWS-ConfigureCloudTrailLogging이 자동으로 실행되어 CloudTrail을 다시 활성화.

 

 

---

🤔 문제

AWS 계정에서 AWS CloudTrail을 활성화한 SysOps 관리자가 있습니다. 만약 CloudTrail이 비활성화된다면, 즉시 다시 활성화해야 합니다.
사용자 커스텀 코드를 작성하지 않고 이 요구 사항을 충족하려면 SysOps 관리자는 무엇을 해야 합니까?

 

1. AWS 계정을 AWS Organizations에 추가합니다. 관리 계정에서 CloudTrail을 활성화합니다.
2. CloudTrail 구성 변경 시 호출되는 AWS Config 규칙을 생성하고, AWS-ConfigureCloudTrailLogging 자동 복구 작업을 적용합니다.
3. CloudTrail 구성 변경 시 호출되는 AWS Config 규칙을 생성하고, 이 규칙이 CloudTrail을 활성화하는 AWS Lambda 함수를 호출하도록 구성합니다.
4. Amazon EventBridge(Amazon CloudWatch Event)에서 매시간 실행되는 일정 패턴의 규칙을 생성하여, CloudTrail을 활성화하는 AWS Systems Manager Automation 문서를 실행합니다.

 

정답

정답. 2번

 

(3번 오답). CloudTrail을 활성화하는 커스텀 코드를 또 작성해야만 한다.