Elastic Stack 7.4.0 출시
Elastic Stack의 버전 7.4가 정식 출시된다는 기쁜 소식을 알려드립니다. 버전 7.4에서는 클러스터 관리와 운영을 간소화하고, 새로운 집계 및 머신 러닝 기능을 도입하며, 스택 보안 환경을 심층적으로 강화하는 여러 가지 새 기능이 처음 선보입니다. 전체적인 솔루션 측면에서는, Elastic SIEM에서 위치 기반 정보 분석을 위한 실시간 지도와 더불어 규칙만으로는 포착할 수 없는 다양한 보안 위협을 탐색하기 위해 미리 정의된 머신 러닝 작업 13개를 새로 추가하여 보안 작업 워크플로우가 개선됩니다.
지금 저희 Elastic Cloud의 Elasticsearch Service에서 버전 7.4가 제공되고 있습니다. 이 새로운 기능들은 유일한 호스트형 Elasticsearch 제품인 Elasticsearch Service에서만 이용하실 수 있습니다. 또는 자체 관리 환경에서 Elastic Stack을 다운로드하실 수 있습니다.
전체 기능 소개는 개별 블로그 포스팅에 있지만, 따로 찾아보실 필요 없이 여기에서 릴리즈 하이라이트를 소개해 드리겠습니다.
스냅샷 라이프 사이클 관리 — 데이터 백업이 그 어느 때보다도 간편해집니다
스냅샷/복구는 Elasticsearch에서 데이터를 백업(및 복구)하는 데 가장 좋은 방법이며, 거의 모든 프로덕션 배포의 핵심적인 부분입니다. 버전 7.4에서는 스냅샷 라이프 사이클 관리를 도입하는데, 이를 통해 관리자는 언제 그리고 얼마나 자주 스냅샷을 찍을 것인지를 관리하는 정책을 정의할 수 있습니다. 이것은 재난이 발생하거나 다른 이유로 데이터가 복구되어야 하는 경우, 적절한 최근 백업이 준비되도록 합니다.
버전 6.7에서 도입된 인덱스 라이프 사이클 관리와 함께, 스냅샷 라이프 사이클 관리는 프로덕션 클러스터 운영을 극적으로 간소화해줍니다. 이러한 기능들을 Elastic Stack의 기본 기능으로 구축함으로써, 관리자는 외부 도구와 크론 작업에 대한 의존도를 줄이고, 안정성과 가시성을 확보하며, 비즈니스에 중요한 데이터 보호 정책을 정의하는 데 집중할 수 있습니다. 언제나 API 우선 방식으로 구축하고 있긴 하지만, 스냅샷 라이프 사이클 관리를 위해 관리 UI(Kibana의 스냅샷 및 복구 인터페이스 내에 위치)를 포함시키게 되어 많이 기대가 됩니다.
자세한 전체 내용은 Elasticsearch 블로그 포스팅에서 확인해보세요.
Elastic Maps 및 Elastic SIEM — 분석가들을 위해 설계된 사이버 공격 지도
사이버 공격 지도는 영어로는 스타워즈의 사운드 효과처럼 총을 연사하는 소리를 따서 pew pew maps라고도 하는데, 데이터 센터 투어용으로 보기에만 좋은 경우가 많습니다. 7.4 릴리즈에서, SIEM 애플리케이션은 라이브 데이터에 기반한 사이버 공격 지도를 도입합니다. 분석가들은 이를 통해 실시간으로 검색, 필터링, 탐색 작업을 할 수 있습니다. 투어 시에 보기에도 좋을 뿐 아니라, 보안 분석가들을 위한 도구이기도 합니다. Elastic SIEM에서는, 위치가 또 하나의 속성이 되어 가시성과 사이버 상황 인식을 도와줍니다.
Leaseweb Global B.V.의 IT 보안 관리자인 Wieger van der Meulen은 “이것을 채택한 이래 Elastic Stack으로 수집하는 로그 데이터 소스의 수가 늘었다"며, “우리 보안 팀은 이제 모든 보안 관련 데이터를 Kibana 내에서 빠르게 검색하고 시각화하여 효과적인 대화형 조사를 실시할 수 있습니다. 아울러, Elastic Stack의 머신 러닝 기능은 우리 인프라 내에서 평상시와 다른 행동들을 자동으로 감지합니다. 이제 SIEM 앱의 버전 7.4로 통합되는 머신 러닝 작업 세트가 확장되었으니, 이상 징후 탐색에서도 좀더 종합적인 세트를 활용할 수 있을 것으로 기대합니다. Elastic SIEM을 채택한 덕분에 사고에 한층 더 빨리 대응하고, 적절한 완화 조치를 취할 수 있었습니다.”라고 말했습니다.
이 기능은 Elastic Maps 기반 위에 바로 구축되기 때문에, 저희가 다년간 위치 기반 정보 분석 및 검색 기능에 투자한 것을 활용합니다. 또한 버전 7.4에서 Elastic Maps에 새롭게 점대점 라인 기능이 도입되는데, 이것은 데이터에서 연결을 손쉽게 시각화할 수 있게 해줍니다. Elastic Maps를 SIEM 애플리케이션으로 바로 포함시킴으로써, 새로운 점대점 라인 기능을 선보이게 되며, 계속해서 Elastic Maps를 개선하여 이점을 활용하실 수 있도록 할 것입니다.
자세한 전체 내용은 Elastic SIEM 블로그 포스팅에서 확인해보세요.
머신 러닝에 새 기능 추가
버전 7.3은 사용자가 Elasticsearch 데이터를 즉석에서 엔터티 중심 인덱스로 피벗하게 해주는 데이터 변환을 도입했습니다. 이 변환 기능은 이상값 탐색, 회귀, 분류 등과 같은 새로운 분석 및 머신 러닝 방법 제품군을 위한 기본 블록입니다. 버전 7.4에서는 지난 버전의 머신 러닝에 회귀 분석 API와 이상값 탐색 UI를 추가 제공하게 되어 큰 기대가 됩니다.
Kibana의 Machine Learning 앱에서 새로운 Analytics 탭을 추가하여 이상값 탐색 작업을 생성, 관리, 조회할 수 있습니다.
PSCU의 부정행위 인텔리전스 관리자인 Jonathon Robinson은 “Elastic의 머신 러닝은 우리 팀에게 중요합니다. 왜냐하면 우리가 과거에 할 수 있었던 것보다 기하급수적으로 많은 데이터를 처리할 수 있게 해주기 때문입니다. 우리는 머신 러닝을 사용해 부정행위를 즉시 식별할 수 있었습니다. 우리는 몇 주 내에 상당한 비용을 절감했고, 지난 달만 해도 우리 신용조합을 위해 수백 만 달러를 절감했습니다.”라고 말했습니다.
이 두 가지 방법에 더하여, 몇 개의(정확히 말하면 13개) 새 기본 머신 러닝 작업도 Elastic SIEM에 도입하여 네트워크 상에서 흔한 보안 위협을 탐색하고 Auditbeat가 수합한 활동 데이터를 호스팅합니다. 예를 들면, 비정상적인 프로세스, 비정상적인 네트워크 포트 활동 탐색 등이 포함됩니다.
자세한 전체 내용은 Elasticsearch 블로그 포스팅에서 확인해보세요.
Observability의 각 핵심 요소를 더 심층적으로
버전 7.4에서는 Elastic APM의 자동 계측에 대해 더 끈질기게 작업했습니다. 이로써 APM 에이전트가 확장되어 더 많은 일반적인 프로그래밍 프레임워크를 위한 플러그 앤 플레이 환경을 지원합니다. 가장 눈에 띄는 것은 RUM 에이전트에 Angular 지원이, .NET 에이전트에 .NET 프레임워크 지원이 추가되는 것인데, 둘다 기존 엔터프라이즈 애플리케이션에서는 대단히 일반적인 것입니다. 아울러, APM UI에서 새로운 “지리적 위치별 성능" 분할을 추가했는데, 이전 릴리즈에서 도입된 RUM 위치 정보 데이터를 기반으로 구축된 것입니다. 이로써 사용자들은 특정 지역에만 국한된 문제를 전혀 겪지 않아도 되며, 문제도 더 빨리 해결할 수 있습니다. 끝으로, Elastic APM UI의 구조화된 필터가 분석가가 추적 데이터를 한결 빨리 검색할 수 있게 해주기 때문에 해결 주기가 단축됩니다. 자세한 전체 내용은 Elastic APM 블로그로 가셔서 확인해보세요.
모든 Elastic Stack 릴리즈는 중요한 인프라와 서비스의 상태를 자동으로 모니터링할 수 있는 새로운 방법들을 도입합니다. 7.4 릴리즈는 Elastic Load Balancer(ELB), Elastic Block Storage(EBS), CloudWatch Statistics 등과 같은 더 많은 AWS 서비스로부터의 메트릭 수집을 추가 지원합니다. 아울러 Amazon Simple Storage Service(S3)로부터 서버 로그를 바로 읽어낼 수 있는 기능도 추가됩니다. 또한 예약 작업을 위한 추가 메트릭으로 Kubernetes 모니터링 기능도 더 늘어났으며, 이 일반적인 형식을 사용해 사용자 정의 메트릭을 수집하기 위한 새로운 StatsD 모듈도 추가되었습니다. 데이터베이스 모니터링은 수많은 새로운 메트릭 세트와 Oracle, Prometheus, Postgres 같은 데이터 저장소를 위한 개선된 기본 대시보드와 더불어 한층 향상되었습니다. 마지막으로, 수많은 중요한 엔터프라이즈 애플리케이션에서 핵심적인 메시징 플랫폼인 IBM MQ를 위한 로그 분석을 추가했습니다. 자세한 내용은 Elastic Infrastructure와 Elastic Logs 릴리즈 블로그로 가셔서 확인해보세요.
Kibana의 PKI 인증
Kibana 보안 모델은 계속해서 진화하여 안전하게 Kibana에 접속할 수 있는 새로운 방법들을 제공합니다. 7.2의 기능 제어와 7.3의 Kerberos 지원 같은 놀라운 릴리즈에 이어, 요청을 많이 받았던 또 하나의 인증 메커니즘에 대한 지원을 발표하게 되어 기쁩니다. 버전 7.4에서는 이제 공개 키 인프라(PKI) 인증이 공식 지원됩니다. 이 암호화 유형은 금융, 의료, 정부, 군 같은 부문의 우리 커뮤니티에서 굉장히 많이 사용됩니다.
예전에도 프록시 뒤에서 Kibana로 PKI 인증을 사용할 수 있었지만, 그러한 아키텍처가 7.4에서는 간소화될 수 있습니다. PKI 인증에 대한 기본 지원으로, 사용자는 이제 X.509 클라이언트 인증서와 2단계 암호화 시스템을 사용해 Kibana로 로그인할 수 있습니다. 이로써 새롭고 다양하고 안전하게 Kibana에 접속할 수 있는 방법들을 위한 문을 열어줍니다. 일반 클라이언트 인증서 인증에서부터 물리적인 스마트 또는 신분증 액세스에 이르기까지, Kibana에서 처리할 수 있습니다. 더 자세히 알아보고 싶으신가요? 시작하는 방법에 대한 설명서를 확인해 보세요.