[AWS SCS] VPC Flow Logs

VPC Flow Logs: AWS 네트워크 트래픽 모니터링의 핵심 도구

AWS에서 네트워크 트래픽의 흐름을 추적하고 분석하는 것은 보안과 성능 관리를 위한 중요한 작업입니다. VPC Flow Logs는 VPC 내에서 발생하는 IP 트래픽 정보를 캡처하여 이 과정을 단순화하고 강화하는 도구입니다. 이번 글에서는 VPC Flow Logs의 개념, 주요 기능, 활용 사례를 정리합니다.

---

VPC Flow Logs란?

VPC Flow Logs는 VPC(Virtual Private Cloud)의 네트워크 인터페이스로 들어오고 나가는 IP 트래픽 데이터를 기록하는 기능입니다.
다음 세 가지 수준에서 Flow Logs를 활성화할 수 있습니다:

1. VPC 레벨
2. 서브넷 레벨
3. ENI(Elastic Network Interface) 레벨

VPC Flow Logs는 네트워크 문제를 모니터링하고 분석하며 해결하는 데 유용하며, AWS 관리 인터페이스(예: ELB, RDS, NAT Gateway 등)의 트래픽도 캡처할 수 있습니다.

---

VPC Flow Logs의 주요 기능

1. 로그 전송 위치

Flow Logs는 다음과 같은 AWS 서비스로 전송할 수 있습니다:

• Amazon S3: 대용량 데이터 저장 및 Athena를 통한 분석.
• CloudWatch Logs: 실시간 로그 모니터링 및 Insights를 통한 분석.
• Kinesis Data Firehose: 스트리밍 데이터를 위한 실시간 처리.

2. 로그 데이터 형식

Flow Logs는 다양한 메타데이터를 포함하며, 주요 항목은 다음과 같습니다:

• 소스/대상 주소: 문제가 발생한 IP 확인.
• 소스/대상 포트: 특정 포트와 관련된 문제 식별.
• Action 필드: 요청이 허용(accept) 또는 거부(reject)되었는지 표시.
• 네트워크 프로토콜 및 패킷 수: 세부적인 네트워크 정보 제공.

---

VPC Flow Logs의 활용

1. 보안 및 네트워크 문제 해결

• IP 및 포트 문제 분석
  Flow Logs 데이터를 통해 반복적으로 차단되는 IP나 포트를 확인하고, 잠재적인 보안 위협(예: DDoS 공격)을 조기에 탐지할 수 있습니다.
• NACL 및 보안 그룹 이슈 진단
  • Inbound Reject: NACL 또는 보안 그룹 규칙으로 인해 수신 요청이 거부됨.
  • Outbound Reject: 보안 그룹의 상태 저장(stateful) 특성을 활용해 NACL 문제 여부를 판별.

2. 네트워크 트래픽 분석 도구

• Athena: S3에 저장된 Flow Logs 데이터를 SQL 쿼리로 분석하고 Amazon QuickSight로 시각화.
• CloudWatch Logs Insights: 스트리밍 데이터를 실시간 분석하여 네트워크 트래픽 패턴을 탐지.
• CloudWatch Contributor Insights: 네트워크 사용량이 높은 상위 IP 주소를 확인하여 리소스 최적화.

VPC Flow Logs가 캡처하지 않는 트래픽

VPC Flow Logs는 VPC 내 트래픽의 대부분을 캡처하지만, 몇 가지 예외가 존재합니다. 이러한 예외는 AWS 자격증 시험에서도 출제될 수 있으므로 주의 깊게 살펴보는 것이 중요합니다.

다음은 VPC Flow Logs에서 캡처되지 않는 트래픽입니다:

1. Amazon DNS 서버 트래픽
   • 기본 Amazon DNS 서버로의 트래픽은 기록되지 않습니다.
   • 단, 사용자 지정 DNS 서버로의 트래픽은 로그에 포함됩니다.
2. Amazon Windows 라이선스 활성화 트래픽
   • Windows 인스턴스에서 라이선스 활성화를 위한 트래픽은 캡처되지 않습니다.
3. EC2 인스턴스 메타데이터 서비스 트래픽
   • 인스턴스 메타데이터에 대한 요청은 로그에 포함되지 않습니다.
4. Amazon Time Sync 서비스 트래픽
   • AWS에서 제공하는 시간 동기화 서비스로의 트래픽은 기록되지 않습니다.
5. DHCP 트래픽
   • 네트워크에서 동적 호스트 구성 프로토콜(DHCP) 관련 트래픽은 로그에서 제외됩니다.
6. 미러링된 트래픽
   • 트래픽 미러링 기능으로 복제된 데이터는 캡처되지 않습니다.
7. VPC 라우터 예약 IP로의 트래픽
   • VPC의 첫 번째 IP 주소(예약된 라우터 IP)로의 트래픽은 기록되지 않습니다.
8. VPC Endpoint ENI와 Network Load Balancer ENI 간의 트래픽
   • VPC Endpoint Elastic Network Interface(ENI)와 Network Load Balancer ENI 사이의 트래픽은 제외됩니다.

---

요약

VPC Flow Logs는 대부분의 네트워크 트래픽을 캡처하지만, 위와 같은 특정 유형의 트래픽은 기록되지 않습니다.
이 점을 잘 이해하면 AWS 환경에서 네트워크 로그를 분석하거나 시험 준비를 할 때 큰 도움이 될 것입니다.

팁: DNS 서버를 사용자 지정으로 설정하거나, 인스턴스 메타데이터와 관련된 로그를 별도로 모니터링하려는 경우, Flow Logs 외의 추가적인 방법이 필요할 수 있습니다.

---

활용 사례

1. SSH 및 RDP 모니터링

CloudWatch Logs를 사용하여 SSH 및 RDP 트래픽 급증을 탐지하고, 알람과 SNS 알림을 설정해 잠재적인 보안 위협에 신속히 대응합니다.

2. 트래픽 데이터 시각화 및 분석

S3에 저장된 Flow Logs 데이터를 기반으로 Amazon Athena로 분석하고, QuickSight로 시각화하여 네트워크 트래픽 패턴을 한눈에 파악합니다.

---

결론

VPC Flow Logs는 네트워크 트래픽 데이터를 캡처하고 분석함으로써 AWS 환경에서의 보안과 운영 효율성을 높이는 데 필수적인 도구입니다. 네트워크 성능을 개선하고, 문제를 조기에 발견하며, 보안 위협을 완화하는 데 VPC Flow Logs를 적극적으로 활용해 보세요.

참고: 로그 데이터를 분석하기 위해 Athena 또는 CloudWatch와 같은 AWS 서비스를 함께 사용하는 것이 권장됩니다.