AWS remote collecting using AXIOM Cyber

AXIOM Cyber를 이용한 AWS 원격 수집은 총 4단계(케이스 생성 ➡ 수집 범위 지정 ➡ 클라우드 설정 ➡ 수집)로 이뤄진다.

[그림 1] AXIOM Cyber를 이용한 클라우드 원격 수집 단계

1. 케이스 생성

케이스 생성은 AXIOM으로 이미지 프로세싱할 때와 동일하게 생성한다. AXIOM Cyber으로 원격 수집 시 대상의 전체 용량이 수집되기 때문에, 케이스의 저장 위치를 정할 때는 수집할 데이터보다 큰 용량의 폴더를 선택해야 한다.

케이스 생성 이후 수집 형태를 선택할 때 아래 사진처럼 Remote Computer라는 항목이 활성화되어 있지 않다면 보유하고 있는 AXIOM의 라이선스에 AXIOM Cyber가 포함되는지 확인해야 한다.

[그림 2] AXIOM Cyber 라이센스가 활성화된 모습
💡
AXIOM Cyber를 이용한 클라우드 원격 수집
AXIOM Cyber를 이용한 클라우드 원격 수집은 Remote Computer 를 눌러 수집하는 것이 아니라, Cloud를 눌러 수집 대상 클라우드 로그인으로 접근 및 수집하는 방식이다.

2. 수집 범위 지정

클라우드를 원격 수집할 때는 Agent를 배포해 원격 수집하지 않고, 클라우드에 로그인해 원격 수집을 진행한다. AWS의 경우, 로그인을 위해 Access Key와 Secret Key를 확인해야 한다. Key 값을 이용해 로그인하면 AWS 수집 범위(ex. S3버킷, EC2 인스턴스)를 지정할 수 있다.

[그림 3] AXIOM으로 AWS 로그인을 위한 Key 값 입력 화면
✔️
Access Key와 Secret Key 확인
키를 생성할 때 AWS는 생성한 Key 값을 별도의 파일로 저장 및 메모해두기를 권장한다. 이 점을 토대로 사용자는 Key 값을 파일 형태로 본인 PC에 저장했을 수도 있다. 만약 사용자 Key 값을 모르는데 사용자 PC 데이터를 확보할 수 있는 상황이라면, 사용자 PC에서 Key 값이 저장된 파일을 찾아보는 것도 하나의 방법이 될 수 있다.

3. 클라우드 설정

원활한 원격 수집을 위해 수집을 진행하기 전 아래와 같은 설정을 해야 한다.

S3 버킷을 수집할 경우 따로 설정할 것이 없지만, EC2 인스턴스를 수집할 경우 추가적인 설정을 해야 한다.

1) S3 버킷 생성과 정책 설정

S3 버킷를 수집을 위해 데이터를 여러 번 다운로드해도 과금이 발생되지 않는다. 하지만 EC2 인스턴스를 수집할 때는 이미지를 여러 번 다운로드하면 과금이 발생된다. 이를 방지하기 위해 AXIOM Cyber는 EC2 인스턴스 수집 시 바로 수집 데이터를 다운받지 않고, EC2 인스턴스 이미지를 생성해 S3 버킷에 저장한 후 저장된 EC2 인스턴스 데이터를 수집한다.

[그림 4] EC2 인스턴스 이미지를 저장해둘 S3 버킷 정보 입력

S3 버킷을 생성할 때는 퍼블릭 액세스 차단 설정을 모두 해제해야 한다. 퍼블릭 액세스 설정은 S3 버킷 생성 단계에서만 수정할 수 있으며, 퍼블릭 액세스를 차단하면 S3 버킷에 있는 데이터를 수집할 수 없다.

S3 버킷 정책은 아래의 링크에 접속해 생성할 수 있다.

AWS Policy Generator
AWS Policy Generator

2) S3 ACL 권한 설정

AXIOM Cyber는 수집 시 생성한 이미지를 S3 버킷에 저장하기 위해 "vmimport"라는 IAM 역할을 생성한다. 이 과정이 원활하게 진행되기 위해서는 S3 ACL 편집 창에서 피부여자를 생성해야 한다.

[그림 5] "vmimport"라는 IAM 역할을 위해 S3 ACL에 피부여자를 추가하는 모습

만약 S3 ACL 권한 설정 시, 읽기 권한을 부여하지 않는다면 수집 시 오류가 발생하므로 무조건 모든 권한을 다 부여해줘야 한다.

[그림 6] S3 ACL 권한 부재로 발생한 오류

S3 버킷은 생성 시 입력하는 피부여자 ID(= 각 지역별 정식 계정 ID)를 이용해 "vm-import-export@amazon.com"(= AXIOM이 임의로 생성한 IAM 역할)에 ACL을 부여한다.

4. 수집

수집 대상에 대한 세부적인 프로세싱 설정 부분은 AXIOM으로 이미지 프로세싱할 때와 동일하게 원하는 옵션을 선택한다.

[그림 7] 프로세싱이 진행되는 모습