# 클라우드 보안 스캐닝

## 개요

Panther의 클라우드 보안 스캐닝은 Amazon Web Services(AWS) 리소스의 구성을 캡처하고 관련된 [정책](/ko/detections/policies.md) 을(를) 호출하여 잘못된 구성을 탐지하는 방식으로 작동합니다. Panther 인스턴스에 클라우드 계정을 온보딩하면 클라우드 보안 스캐닝이 자동으로 활성화됩니다.

이 기능은 클라우드 보안 상태를 개선하고 규정 준수를 지원할 수 있습니다. Panther가 탐지할 수 있는 일반적인 보안 오구성에는 다음이 포함됩니다:

* 암호화되지 않은 S3 버킷
* 다음에서 인바운드 SSH 트래픽을 허용하는 보안 그룹 `0.0.0.0/0`
* 생성된 지 90일이 넘은 액세스 키
* 권한이 지나치게 허용적인 IAM 정책

새 AWS 계정을 추가하면 Panther는 기준 스캔을 실행하고 계정의 모든 리소스를 모델링합니다. 이후 계정 스캔은 매일 수행됩니다. 이는 읽기 전용 권한이 있는 수임 가능한 IAM 역할을 사용하여 작동합니다.

## 클라우드 보안 스캐닝 사용 방법

클라우드 계정이 온보딩되면 Panther에서 클라우드 보안 스캐닝이 자동으로 활성화됩니다. 클라우드 보안 스캐닝을 통해 Panther는 클라우드 리소스의 상태를 캡처하고 관련된 [정책](/ko/detections/policies.md) 을(를) 매일 호출하여 잘못된 구성을 탐지합니다.

클라우드 계정을 온보딩할 수 있습니다 [Panther 콘솔에서](#onboarding-a-cloud-account-in-the-panther-console), 또는 [Panther API를 사용하여](#onboarding-a-cloud-account-using-the-panther-api).

또한 다음을 권장합니다 [로그 소스 통합으로 CloudTrail 또는 CloudWatch 로그를 온보딩하는 것](/ko/data-onboarding/supported-logs/aws.md) 그래야 활성 사고와 침해에 대한 탐지를 구성하고 경고를 받을 수 있습니다.

{% hint style="info" %}
Panther의 클라우드 보안 스캐닝은 매일 스캔을 수행합니다.

또한 다음을 활성화할 수 있습니다 [실시간 모니터링](#real-time-monitoring) 클라우드 인프라 구성에 대한.
{% endhint %}

### Panther 콘솔에서 클라우드 계정 온보딩하기

1. Panther 콘솔에 로그인합니다.
2. 왼쪽 사이드바에서 다음을 클릭합니다 **구성 > 클라우드 계정** 그런 다음 다음을 클릭합니다 **새로 만들기**.
   * 클라우드 계정 페이지에는 이름, 상태, 계정 ID, 생성일, 실시간 스캐닝 상태 열이 있는 DataGrid에 계정이 표시됩니다. 기본적으로 숨겨진 Stack Name 열은 열 표시 전환을 통해 활성화할 수 있습니다. 도구 모음을 사용하여 상태, 실시간 스캐닝 상태 또는 생성 날짜 범위로 계정을 필터링하고 빠른 검색으로 이름이나 계정 ID로 특정 계정을 찾을 수 있습니다.
3. 계정 이름과 AWS 계정 ID를 입력합니다.
   * 다음을 확장할 수도 있습니다 **고급 옵션** 에서 어떤 AWS 리전, 리소스 유형 및 리전별 리소스를 클라우드 스캐닝에서 제외할지 지정할 수 있습니다. 이는 잘못 구성된 것으로 알려진 리전 및 리소스로 인해 너무 많은 경고가 생성되는 것을 방지하는 데 도움이 될 수 있습니다.\
     ![The image shows the Cloud Account configuration page in Panther. There are fields for Name and AWS Account ID. "Advanced Options" is expanded and includes dropdown menus for "Exclude AWS Regions," "Exclude Resource Types," and a field for "Exclude Resources by Regex."](/files/676d708a6d246a18d1d8119e03ee6410f05a0458)
4. 다음을 클릭합니다 **설정 계속**.

### IAM 역할 설정

Panther가 AWS 계정의 리소스를 스캔할 수 있으려면 IAM 역할이 필요합니다. 이를 설정하기 위해 다음 옵션 중에서 선택할 수 있습니다:

* [AWS 콘솔 UI 사용](#creating-an-iam-role-using-the-aws-console-ui): AWS 콘솔을 사용하여 CloudFormation 스택을 시작합니다.
* [CloudFormation 또는 Terraform 템플릿 파일](#creating-an-iam-role-using-a-cloudformation-or-terraform-template-file): Panther에서 제공하는 CloudFormation 템플릿 또는 Terraform 템플릿을 사용하여 템플릿을 다운로드한 후 직접 배포해 IAM 역할을 생성합니다.
* [모든 것을 직접 설정하고 싶습니다](#creating-an-iam-role-manually-or-with-other-automation): IAM 역할을 수동으로 또는 다른 자동화를 사용하여 생성합니다.

<figure><img src="/files/ba32d1ae6e90c70bf5b08a83d7ee8c66b94cf4e1" alt="The Setup an IAM Role page displays options for Using the AWS Console UI, CloudFormation or Terraform template, or &#x22;I want to set up everything on my own.&#x22;"><figcaption></figcaption></figure>

#### AWS 콘솔 UI를 사용하여 IAM 역할 생성하기

1. "IAM 역할 설정" 페이지에서 다음을 클릭합니다 **선택** 옆의 **AWS 콘솔 UI 사용**.
2. 다음을 클릭합니다 **콘솔 UI 실행.**
   * 새 브라우저 탭에서 템플릿 URL이 미리 입력된 상태로 AWS 콘솔로 리디렉션됩니다.
   * "Capabilities" 상자에서 확인 항목을 체크하고 다음을 클릭합니다 **스택 생성.**
3. Panther 콘솔로 다시 이동합니다.
4. 다음을 클릭합니다 **설정 계속** 하여 클라우드 계정 설정 프로세스를 완료합니다.

#### CloudFormation 또는 Terraform 템플릿 파일을 사용하여 IAM 역할 생성하기

1. "IAM 역할 설정 페이지"에서 다음을 클릭합니다 **선택** 옆의 **CloudFormation 또는 Terraform 템플릿 파일**.
2. 사용하려는 템플릿 옵션을 클릭하면 템플릿이 다운로드되며, 이를 자신의 파이프라인을 통해 적용할 수 있습니다.
   * Terraform 템플릿은 다음에서도 찾을 수 있습니다 [이 GitHub 링크](https://github.com/panther-labs/panther-auxiliary/tree/9365346d8698e730bd623086e24ca6f2a34c4b5c/terraform/panther_cloudsec_iam).
3. AWS에 템플릿 파일을 업로드합니다.
4. 배포가 완료되면 Panther 콘솔로 다시 이동한 다음 다음을 클릭합니다 **설정 계속.**\
   ![The image shows the CloudFormation Template File option page in the Panther Console. On the screen there are links to download a CloudFormation or Terraform Template, then instructions to run commands in your CLI.](/files/5464e0c4cec05ee7c710a4520aa1c6dd18cdf6f6)

#### IAM 역할을 수동으로 또는 다른 자동화로 생성하기

다른 메커니즘을 통해 IAM 역할을 생성하려는 경우, 다음에 문서화된 명명 표준과 권한을 갖추었는지 확인하세요 [Panther에서 제공하는 템플릿](https://github.com/panther-labs/panther-auxiliary/blob/main/cloudformation/panther-cloudsec-iam.yml).

1. "IAM 역할 설정" 페이지에서 다음과 같이 표시된 링크를 클릭합니다 **모든 것을 직접 설정하고 싶습니다**.
2. 필요한 IAM 역할을 생성합니다. 필요한 IAM 역할은 수동으로 또는 자체 자동화를 통해 생성할 수 있습니다.

### 클라우드 계정 설정 프로세스 완료

설정 확인 페이지에서는 IAM 역할이 성공적으로 생성되었는지 확인합니다.

1. 선택적으로 다음을 클릭할 수 있습니다 **CloudTrail 설정** 하여 실시간 스캐닝을 활성화합니다.
   * 이미 CloudTrail 로그가 포함된 로그 소스를 구성했거나 나중에 이를 구성하려는 경우 이 단계를 건너뛸 수 있습니다.
2. 다음을 클릭합니다 **설정 완료**.

<figure><img src="/files/60a8de00141467cdfbd1097eff351d265a321e54" alt="The screen displays a message that says &#x27;Everything looks good!&#x22; and &#x22;Your configured stack was deployed successfully and your source&#x27;s setup is now complete!&#x22; There is also a message indicating that you can also set up a CloudTrail log source. At the bottom, there is a blue &#x22;Finish Setup&#x22; button."><figcaption></figcaption></figure>

### Panther API를 사용하여 클라우드 계정 온보딩하기

Panther API로 클라우드 계정을 온보딩하려면 [`CreateCloudAccount` 작업](/ko/panther/api/graphql/cloud-account.md#creating-a-cloud-account)을(를) 사용합니다. 이 작업을 사용한 후에도 AWS 계정에서 IAM 역할을 설정해야 합니다. 다음의 [IAM 역할을 수동으로 또는 다른 자동화로 생성하기](#creating-an-iam-role-manually-or-with-other-automation) 위 지침을 따르세요.

## 실시간 모니터링

클라우드 보안 스캐닝 서비스가 수행하는 일일 스캔에 더해, 클라우드 리소스의 실시간 모니터링을 선택적으로 활성화할 수 있습니다.

실시간 모니터링이란 클라우드 리소스에 변경이 있을 때마다(구성 수정, 생성 및 삭제 포함) Panther가 해당 리소스와 관련된 [정책](/ko/detections/policies.md) 을(를) 호출한다는 의미입니다. 즉, 변경으로 인해 리소스가 정책을 통과하지 못하면 다음 일일 스캔 시점이 아니라 거의 실시간으로 경고를 받게 됩니다.

실시간 모니터링을 설정하려면 AWS CloudTrail을 로그 소스로 온보딩하거나 아래의 CloudWatch 이벤트 프로세스를 따르세요.

### CloudTrail 로그

CloudTrail 로그를 통해 실시간 모니터링을 설정하려면 다음 지침을 따르세요 [CloudTrail 로그 온보딩](/ko/data-onboarding/supported-logs/aws.md).

### CloudWatch 이벤트

리소스 스캐닝 및 모니터링에 CloudWatch 이벤트를 활용하려면 AWS에서 CloudFormation 스택을 구성한 다음 클라우드 계정을 온보딩해야 합니다.

#### CloudWatch 이벤트를 활용하도록 CloudFormation 구성

시작하기 전에 다음을 검토하세요 `panther-cloudwatch-events.yml` 내의 CloudFormation 템플릿 [panther-auxiliary](https://github.com/panther-labs/panther-auxiliary/blob/main/cloudformation/panther-cloudwatch-events.yml). 이 YAML 파일에는 Panther의 실시간 CloudWatch 이벤트 수집을 구성하는 데 필요한 CloudFormation 스택 정보가 포함되어 있습니다.

이는 각 리전의 로컬 SNS 토픽을 통해 프록시된 Panther의 SQS 큐로 전달되는 CloudWatch 이벤트 규칙을 생성하는 방식으로 작동합니다. AWS에서 이벤트가 발생한 시점과 CloudWatch 이벤트 규칙이 해당 이벤트를 탐지하는 시점 사이의 지연 시간은 일반적으로 1분 이하입니다.

1. [다운로드](https://github.com/panther-labs/panther-auxiliary/blob/main/cloudformation/panther-cloudwatch-events.yml) 다음의 `panther-cloudwatch-events.yml` panther-auxiliary에서 템플릿을 다운로드합니다.
2. AWS 콘솔을 열고 CloudFormation 서비스로 이동합니다.
3. 다음을 클릭합니다 **스택 생성** 을(를) 클릭하고 "새 리소스 포함" 옵션을 선택합니다.
4. 다음의 **템플릿** 섹션에서 다음 옵션을 선택합니다 *템플릿 파일 업로드*. 다음을 선택합니다 `panther-cloudwatch-events.yml` 파일.
5. 다음을 클릭합니다 **다음**.
6. 다음의 **세부 정보 지정** 섹션에서 다음을 포함한 필요한 필드를 입력합니다:
   * **스택 이름**: `panther-real-time-events`
   * **QueueArn**: `arn:aws:sqs:<PantherRegion>:<PantherAccountID>:panther-aws-events-queue`
7. 다음을 클릭합니다 **다음**.
8. 다음의 **스택 옵션 구성** 페이지에서 다음을 클릭합니다 **다음**.
9. 다음의 **검토** 페이지에서 설정이 올바르게 구성되었는지 확인합니다. 다음을 클릭합니다 **다음**.
10. 템플릿을 구성한 후 다음을 따르세요 [클라우드 계정 온보딩 지침](#onboarding-a-cloud-account-in-the-panther-console).

## 클라우드 리소스 속성

클라우드 보안 정책에서 참조할 수 있는 속성에 대해 자세히 알아보려면 다음을 참조하세요 [클라우드 리소스 속성](/ko/cloud-scanning/cloud-resource-attributes.md).

## 클라우드 계정 관리

### 클라우드 계정 DataGrid

클라우드 계정 페이지에는 다음을 제공하는 대화형 DataGrid에 연결된 모든 AWS 계정이 표시됩니다:

* **열**: 이름(클릭하여 편집 가능), 상태, 계정 ID, 생성일 및 실시간 스캐닝 상태. Stack Name은 도구 모음의 열 표시 전환을 통해 기본적으로 숨겨진 열로 사용할 수 있습니다.
* **필터링**: 필터(깔때기) 아이콘을 클릭하여 필터 패널을 열면 상태, 실시간 스캐닝 상태 또는 생성 날짜 범위로 필터링할 수 있습니다. 활성 필터는 빠른 검색 텍스트를 유지하는 모두 지우기 컨트롤과 함께 그리드 위에 칩으로 표시됩니다.
* **검색**: 계정 이름 및 AWS 계정 ID 전반에 대한 빠른 텍스트 검색.
* **정렬**: 열 헤더를 클릭하여 계정을 정렬합니다.
* **작업**: 각 행의 케밥 메뉴(⋮)를 사용하여 계정을 편집하거나 삭제합니다. 작업 메뉴는 *클라우드 계정 수정* 권한이 있는 사용자에게만 표시됩니다.

![Panther의 클라우드 계정 페이지에는 세 개의 계정이 있는 DataGrid가 표시됩니다. 보이는 열은 이름, 상태, 계정 ID, 생성일, 실시간 스캐닝입니다. 필터 깔때기 아이콘과 "텍스트로 필터링" 검색 필드가 그리드 위에 있고, "새로 만들기" 버튼은 오른쪽 상단에 있습니다.](/files/a59e7f598695dfa619b8f0078840eecf4b6d3920)

필터 패널에는 상태 및 실시간 스캐닝 체크박스와 생성 날짜 범위 선택기가 표시됩니다:

![DataGrid 왼쪽에 필터 패널이 열려 있는 클라우드 계정 페이지. 패널에는 Healthy 및 Unhealthy 체크박스가 있는 Health 섹션, Enabled 및 Not Enabled 체크박스가 있는 Real-time Scanning 섹션, 그리고 Created 날짜 드롭다운이 표시됩니다.](/files/0b808bd8215ff4dce17e05590ce08a339874e72f)

### 계정 상태 알림

클라우드 계정이 비정상 상태가 되면(예: IAM 역할 문제로 인해) 목록의 상태 열이 **비정상**으로 전환되고, 계정의 편집 페이지 구성 양식 위에 **계정이 비정상 상태로 전환되었습니다** 알림이 표시됩니다. 이 알림에는 실패한 모든 상태 지표(감사 역할 및/또는 실시간 모니터링)와 해당 요약 메시지가 나열되며, 각 항목에는 원시 오류 세부 정보를 표시하는 **오류 메시지 보기** 링크가 있습니다.

![비정상 계정의 클라우드 계정 편집 페이지. 구성 양식 위에 빨간 테두리의 "계정이 비정상 상태로 전환되었습니다" 배너가 표시되며, "arn:aws:iam::123456789012:role/MyApplicationServerRole을 수임할 수 없었습니다"라는 메시지와 "오류 메시지 보기" 링크가 포함된 실패한 감사 역할 검사가 나열되어 있습니다. 아래의 구성 양식에는 이름 및 AWS 계정 ID 필드가 표시됩니다.](/files/1dc6e75f01b203c29e1453ed92a2640dca80ac61)

## 클라우드 보안 스캐닝 문제 해결

Panther 기술 자료를 방문하여 [클라우드 보안 스캐닝 정책에 관한 문서 보기](https://help.panther.com/Detections/Policies) 및 [클라우드 계정에 관한 문서](https://help.panther.com/Data_Sources/Cloud_Accounts) 를 확인하세요. 이 문서들은 자주 묻는 질문에 답하고 일반적인 오류와 문제를 해결하는 데 도움을 줍니다.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.panther.com/ko/cloud-scanning.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.