AWS Security Lake 장점과 단점

✅ AWS Security Lake란?

AWS Security Lake는 보안 로그 및 관련 데이터를 자동으로 중앙 집중화하여 저장하고 분석할 수 있는 서비스입니다. 다양한 AWS 서비스(AWS CloudTrail, VPC Flow Logs, GuardDuty, Security Hub 등) 및 서드파티 보안 솔루션에서 데이터를 수집하고 표준화된 Open Cybersecurity Schema Framework (OCSF) 형식으로 저장합니다.

---

✅ Security Lake 장점

1️⃣ 구성이 간단하고 자동화된 로그 수집

• 개별적인 로그 수집 설정 없이도 AWS의 보안 로그(VPC Flow Logs, CloudTrail, Security Hub 등)를 자동으로 수집 가능
• 기존 로그 수집 인프라 대비 설정이 간편하며 운영 부담이 적음

2️⃣ 구독자(Subscriber) 추가를 통한 로그 전달이 용이

• Security Lake에서 수집한 데이터를 다른 계정, 애플리케이션, 보안 도구(SIEM, Splunk, Data Lake 등)로 쉽게 공유 가능
• AWS Organizations 계정 간 로그 공유가 간편하여 중앙에서 보안 로그를 관리하는 조직에 적합

---

❌ Security Lake 단점

1️⃣ 비용이 높아 기업 도입이 어려운 경우가 있음

• AWS 내부에서도 Security Lake 사용 시 비용이 높을 수 있다고 가이드함
• 저장 비용(S3), 분석 비용(Athena, OpenSearch, Glue 등), 데이터 전송 비용 등이 발생하여 대량의 보안 로그를 저장·분석하는 기업에는 부담이 될 수 있음
• 현재 비용 문제로 인해 많은 기업이 적극적으로 사용하지 않는 상황

2️⃣ OCSF 로그 형식으로 원본 로그와 차이가 있음

• Security Lake는 모든 데이터를 Open Cybersecurity Schema Framework (OCSF)로 변환하여 저장
• Opensearch SIEM의 기본 제공 대시보드를 바로 사용할 수 없음
• 기존 보안 시스템에서 원본 로그 형식이 필요할 경우, 추가적인 데이터 변환 작업이 필요함

---

🚀 최종 요약

✅ 장점:
✔ 구성 및 운영이 간단하며, 별도 설정 없이 AWS 로그 자동 수집 가능
✔ 구독자를 통해 로그를 쉽게 공유하고 다양한 분석 도구와 연계 가능

❌ 단점:
✖ 비용이 높아 많은 기업이 쉽게 도입하지 못하는 상황
✖ OCSF 로그 형식으로 변환되므로, 기존 SIEM 대시보드(예: OpenSearch SIEM)와 바로 호환되지 않음

🔥 AWS Security Lake는 강력한 보안 데이터 중앙화 솔루션이지만, 비용과 로그 형식 변환 이슈를 고려해야 함! 🚀