/
컴플라이언스

컴플라이언스

컴플라이언스 (보안/거버넌스)

AWS Config 서비스의 레코딩된 데이터를 기반으로 자원 변경 이력과 컴플라이언스 현황을 제공합니다.

 1. 개요

클라우드 자원의 변경과 규정 준수 현황에 대해 조회 서비스를 제공합니다.

3사 CSP중 AWS만을 지원하고 있으며, AWS Config 서비스의 레코딩된 데이터를 기반으로 자원 변경 이력과 컴플라이언스 현황을 제공합니다.

AWS Config 레코딩 설정과 CloudXper와 연계 방법에 대해서는 아래 링크를 참조하시기 바랍니다.

  • AWS Config 레코딩 설정: https://docs.aws.amazon.com/ko_kr/config/latest/developerguide/gs-console.html

  • CloudXper Config 연계 방법: AWS Config 연계 가이드
    CloudXper는 고객 계정의 Config 레코드 데이터를 수집하기 위하여
    1) AWS에서 타계정간 벤트 연계 방법인 EventBridge로 변경 이벤트를 수신받고,
    2) S3 API를 사용하여 고객 클라우드 계정의 Delivery Channel (S3 bucket)에 레코딩된 데이터에 인증/인가된 접근으로 수집합니다.
    cxp에 입점해 있는 고객계정은 인벤토리 수집 권한을 부여해주셔서 2) 단계는 기존 계정인 경우 생략합니다.
    3) recorder의 이벤트 연계를 위한 aws에서 제공하는 event bridge서비스로 타계정인 cloudxper에 이벤트를 전송하기 위해 두개 snapshot과 history이벤트에 대한 연계 룰만 설정해주시면 됩니다.

AWS 내 서비스/자원만 조회되고 있으며, Managed Inventory 자원의 경우, 수집 방안과 조회 화면 개선에 대해 검토 중에 있습니다.

AWS에서 발생되는 delivery 이벤트는 snpashot은 기록 시점 (1,3,6,12,24hr 주기 혹은 수동) 발생되지만,
history의 경우, 6시간 간격으로 누적된 변경 내역을 전송하기 때문에 최대 6시간의 차이가 발생될 수 있습니다.

2. 대시보드

전체 자원 및 규정 준수 현황을 볼 수 있는 대시보드와 CSP별로 현황을 볼 수 있는 화면으로 구성되어있으며, 
CSP별 현황은 현재 AWS만 제공되고 있습니다.

대시보드는 크게 3가지 영역으로 구성되어있습니다.

1) 일별, 월별 준수 현황에 대한 추이 조회
2) 각 계정의 Config 레코딩 설정 현황 조회
3) 자원 유형과 규정별 자원 개수와 미준수 자원 개수를 조회 / 미준수 자원 현황 조회

2.1 준수 현황 추이

일별, 월별 준수율과 자원 개수 추이를 보여줍니다. 그래프에 마우스를 가져가면 준수/미준수/미적용율이 표시됩니다.
우측 설정 버튼을 클릭하여 자원 유형으로 추이 결과를 필터링 할 수 있습니다.

2.2 Config 등록 현황

계정별로 Config 기록( Record)과 주기적인 스냅샷 기록 여부가 표시되며, 규정/자원별 준수 개수가 표시됩니다.

  • 정상등록: 변경된 자원 기록과 전체 자원에 대한 주기적인 스냅샷을 남기며, 자원/준수 현황을 조회할 수 있습니다.

  • 스냅샷 미설정: 변경된 자원만 기록되기 때문에 자원/준수 현황에 누락이나 정합성이 맞지 않을 수 있습니다..

  • 미등록 : Config 기록이 설정되어있지 않아 자원/준수 현황을 조회할 수 없습니다.
     

2.3 준수 현황

자원유형별/규칙별 준수현황 위젯은 미준수 자원 개수 기준으로 정렬되어 전체 개수 vs 준수 개수와 준수율을 보여줍니다.

규정 준수 여부는 자원 변경, 생성, 주기로 점검을 통해 결정되기 때문에 준수 개수와 준수율을 함께 보시기 바랍니다.
준수율이 낮다는 의미가 규정이 적용된 자원 유형 범위가 좁기 때문일 수 있습니다.

 

일반적으로 자원에 적용된 규정과 그 준수 현황을 보고 싶거나, 역으로 설정된 규정이 적용된 자원과 준수 현황을 보기 원합니다.

  • 자원 유형별 준수 현황과 규정별 준수 현황은 연동되어 탐색이 가능합니다.
    자원 유형별 준수현황에서 자원 유형을 선택하면, 우측 규정별 준수 현황에 선택된 자원 유형에 적용된 규정과 미준수 현황을 조회가능합니다.
    역으로 규정별 준수현황에서 규정을 선택하면, 좌측 자원 유형별 준수 현황에는 선택된 규정이 적용된 자원 현황과 미준수 현황을 조회이 조회됩니다.

  • 하단 위젯에는 준수 현황에 선택된 조건으로 미준수된 자원 목록이 조회됩니다.

    image-20240728-062506.png

3. Config Resource

Resources 에서는 Config에 레코딩되고 있는 자원의 변경 내용을 조회할 수 있는 화면입니다.

첫 화면은 전일자부터 조회시점까지 변경된 자원 목록이 조회됩니다.
검색 조건으로 자원 유형규정 준수 조건, 자원의 최근 변경 일자로 기간 검색 등 을 지원하고,
자원 ID나Name으로 검색할 수 있습니다. 삭제된 자원도 검색을 지원합니다. 

규칙이 수행되어야 준수/미준수 여부가 검출되기 때문에 적용된 규칙이 없거나, 규칙 수행 전인 경우, 
미준수와 준수건에 포함되지 않기 때문에 전체 자원 건수는 합계보다 큽니다.

AWS Config는 관계된 자원 정보와 자원 속성/값을 기록하여, 자원 유형마다 다른 속성 정보는 유형별로 스키마를 제공하고 있습니다.
확장 검색 영역은 연관관계 정보와 자원 유형별 스키마에 정의된 Configuration 속성 / 값으로 검색할 수 있는 기능으로
자원 id를 알고 있다면, 관련이 있는 자원을 조회할 수 있고, configuration.instanceType 등 속성에 대해 검색할 수 있습니다.

아래 화면은 확장 검색 예로서 자원 유형이 "AWS::EC2::SecurityGroup"이며, Production tags의 값이 PRD인 검색 결과입니다.

image-20240728-062551.png

  • 삭제된 자원 조회 조건은 삭제 포함 여부외 삭제된 것만 조회가 가능합니다.

  • 변경일자 조건은 최근 변경 일자에 대한 기간 검색으로 시작일과 끝일을 선택합니다.

  • 확장 검색에서 관계 검색은 특정 자원 ID와 관련된 자원을 조회합니다. (AWS Config에 레코딩된 ConfigurationItems.relationships)

  • 확장 검색에서 속성 검색은 특정 자원 속성의 존재여부(exist)나 값(is 또는 isnot)에 대해 검색을 지원합니다. (AWS Config에 레코딩된 ConfigurationItems.configuration)

  • 규정 제외 처리된 자원만 조회가 가능합니다.


참고로, CloudXper는 수집 등록 이후 1년 간 발생된 자원 변경 이력을 저장 유지하며, 수집 기간은 계정 등록 시부터 적용되나,
별도로 이력 관리가 필요한 시작 시점을 알려주시면 고객 계정의 Config 변경 레코드가 존재하는 한 수집이 가능합니다.

목록에서 자원을 클릭하여 자원의 configuration과 compliance 상세 정보를 조회합니다 

3.1 규정 예외 처리

AWS Config에는 규칙이 적용될 자원 유형 만 한정할 수 있고, 자원을 제외할 수  없습니다.
만일 특정 자원을 준수 현황의 미준수 통계에서 제외하고 싶다면, 아래와 같이 자원 목록 화면에서 규정 제외 처리를 할 수 있습니다.

  1. 예외 처리할 다 건을 선택하게 되면, 우측 more 버튼이 활성화됩니다.

  2. more버튼 클릭하여 exclude나 include메뉴를 선택합니다.

제외된 자원은 목록에서 아래와 화면과 같이 Audit Log에 사용자 Action이 표시됩니다.
사용자 Action에 마우스를 가져가거나, 클릭하면 누가 언제 설정한 이력이 조회됩니다.

3.2 Resource Details

DETAILS 탭에는 선택한 자원의 현재 상세 정보로 AWS Config 콘솔의 상세 화면과 유사하게 유형로 기본 정보와 하단에 tag정보, compliance정보가 조회됩니다.

image-20240728-062720.png

3.3 Config Json

CONFIG JSON 탭에는 AWS Config서비스에서 Delivery Channel인 S3 bucket에 레코딩한 원본 json 내용이 보기 편한 트리형태로 조회됩니다.

 

3.4 Timeline

TIMELINE 탭에는 선택한 자원에 대한 설정 변경이나 규정 점검 등 이벤트를 최근 일자부터 시간 역순으로 조회됩니다.

설정 변경, 규정 점검 등 이벤트 유형이나 기간으로 검색이 가능하며,
이벤트 기간 입력시 calendar나 하단에 변경일이 carousel형태로 조회되어, 쉽게 변경 기간, 일을 확인하고 조건으로 검색할 수 있습니다. 

image-20240728-062809.png

이벤트를 선택하여 상세 내용을 조회할 수 있습니다.

  • Config 변경 이벤트에는 변경된 설정이나 연관관계 전/후 내용이 대비되어 조회됩니다.
    이벤트명 우측 FULL SCREEN버튼을 클릭하면, 전체 내용에서 변경된 부분이 조회됩니다. (팝업 창을 drag하실 수 있습니다.)

  • Compliance 이벤트에는 수행된 규칙들과 준수 여부가 조회됩니다.

4. Config Rules

설정된 규칙 목록이 조회되며, 각 규칙별 미준수 리소스 개수와 적용된 전책 리소스 개수가 조회됩니다.

규정 준수 조건으로 검색할 수 있고 규칙 id와 name으로 조회할 수 있습니다.

image-20240728-062842.png

4.1 Rule Detail

DETAIL 탭에는 규칙 상세 정보 페이지로 규칙이 적용된 자원 유형 범위 등 기본 정보와 파라미터 설정 정보가 조회됩니다.

4.2 Rule 적용 Resources

 

RESOURCES 탭에는 규칙이 적용된 자원 목록이 조회됩니다.
자원 ID와 자원 유형, 자원 상태와 준수여부가 표시됩니다.
규정 준수 조건에서 준수 / 미준수를 선택하여 자원을 필터링할 수 있습니다.

 

image-20240728-062925.png

자원상태분류표

Status

설명

Status

설명

OK 

변경

ResourceDiscovered 

신규 생성

ResourceNotRecorded 

신규 생성

ResourceDeleted 

삭제

ResourceDeletedNotRecorded 

삭제