VPC 플로우 로그는 VPC에 속한 네트워크 인터페이스에서 송수신되는 트래픽에 대한 정보를 수집할 수 있는 기능입니다.
https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/flow-logs.html
VPC 흐름 로그를 사용하여 IP 트래픽 로깅 - Amazon Virtual Private Cloud
VPC 흐름 로그를 사용하여 IP 트래픽 로깅 VPC 흐름 로그는 VPC의 네트워크 인터페이스에서 전송되고 수신되는 IP 트래픽에 대한 정보를 수집할 수 있는 기능입니다. 플로우 로그 데이터는 Amazon Cloud
docs.aws.amazon.com
VPC 플로우 로그 레코드 구조
플로우 로그 레코드 기본 형식은 아래와 같습니다.
<ver><acco-id><inf-id><srcaddr><dstaddr><srcport><dstport><prot><pkts><bytes><start><end><act><log-stat>
레코드 형식으로 봐서 조금 가시성이 떨어질 수 있으나, 실제 플로우 로그가 찍힌것을 보면 우리가 알고있는 일반 로그 형식과 비슷하게 나옵니다.
VPC 플로우 로그 권한
VPC 플로우 로그 정보를 수집하려면 IAM 정책과 역할을 생성해야 합니다. 이것부터 먼저 해보죠.
이번 역할 생성은 콘솔에서 진행하겠습니다.
IAM 콘솔에서 [정책]으로 들어간 뒤 [정책 생성] 클릭해줍니다.
JSON 형식으로 해당 정책의 Action 을 정의해줍니다.
(log와 관련된 정책)
정책 생성 후 역할 생성 콘솔로 접속합니다.
그 후 [사용자 지정 신뢰 정책] 클릭 후 아래와 같이 JSON 형식으로 정책 입력해줍니다.
(vpc-flow-logs에 대한 역할을 정의한 JSON)
마지막으로 제대로 역할이 생성되었는지 [역할] 콘솔에서 확인합니다.
VPC 플로우 로그 실습
실습 구성도
VPC 플로우 로그 생성
기본 VPC에서는 플로우 로그가 비활성화 상태이기 때문에 따로 생성을 해줘야 합니다.
vpc 콘솔에서 [플로우 로그 생성] 클릭
사전에 생성한 로그 그룹과 IAM 역할 연결 후 생성
VPC 플로우 로그 확인
1. VPC 플로우 로그가 활성화된 VPC 안에 존재하는 EC2 서버에 접속 해봅니다.
클라이언트 PC에서 인스턴스로 http 접속 시도
--> 그러나 보안그룹에 http 규칙이 없기때문에 접속할 수 없습니다.
그 후에 CloudWatch logs 콘솔에서 로그를 확인하면, 내 IP로 접속을 시도하여 reject 당한 로그가 찍힙니다.
2. http 접속이 가능하도록 보안 그룹 수정 후 다시 로그 확인
보안 그룹 수정 후 Client PC에서 인스턴스 접속 성공
로그 확인 결과 ACCPET 로 접속을 한 로그가 남았음
'AWS > Cloud Security' 카테고리의 다른 글
| [AWS] IAM (0) | 2022.06.03 |
|---|
