보안 모니터링을 위해 네트워크 미리링을 설정해보자.
<1> 설정 구성
<2> 제약사항
<3> 목적지를 같은 계정에서 모니터링하는 경우
<4> 목적지를 원격지 다른 계정에서 모니터링하는 경우
<5> 설명서
<1> 설정 구성
CASE 1
목적지를 같은 계정에서 설정하는 경우
EC2
CASE 2
목적지를 원격지 다른 계정에 설정하는 경우
(계정A VPC) EC2 ---------- ( VPC피어링 또는 트랜짓게이트웨이) ---- 목적지 NLB --- 보안툴 (계정B C)
<2> 제약사항
1
특정 인스턴스만 가능하다.
가능 EC2
The following instances are built on the Nitro System:
Virtualized: A1, C5, C5a, C5ad, C5d, C5n, C6g, C6gd, G4, I3en, Inf1, M5, M5a, M5ad, M5d, M5dn, M5n, M6g, M6gd, p3dn.24xlarge, R5, R5a, R5ad, R5d, R5dn, R5n, R6g, R6gd, T3, T3a, and z1d
Bare metal: a1.metal, c5.metal, c5d.metal, c5n.metal, c6g.metal, c6gd.metal, i3.metal, i3en.metal, m5.metal, m5d.metal, m6g.metal, m6gd.metal, r5.metal, r5d.metal, r6g.metal, r6gd.metal, u-6tb1.metal, u-9tb1.metal, u-12tb1.metal, u-18tb1.metal, u-24tb1.metal, and z1d.metal
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#ec2-nitro-instances
2
제약 사항
https://docs.aws.amazon.com/ko_kr/vpc/latest/mirroring/traffic-mirroring-considerations.html
<3> 목적지를 같은 계정에서 모니터링하는 경우
1. 소스 확인
: 어떤 EC2의 eth0를 모니터링 할것인가?
AWS ENI를 확인한다.
2. 목적지 설정
: 어느쪽에 미러링 할것인가? 보통 NLB에 한다.
이더넷과 NLB 만 가능 하다.
VPC >
3. 필터링 설정
: 필터링에서 보고자 하는것만 허용한다.
모든것을 다 허용해도 된다.
4. 세션 설정
: 소스와 목적지를 지정한다.
<4> 목적지를 원격지 다른 계정에서 모니터링하는 경우
1. 목적지 설정
: 어디에서 모니터링 할지 정한다.
원격의 다른계정에서 모니터링한다.
1) 계정B에 NLB설정 한다.
2) 계정B에서 RAM으로 NLB를 공유한다.
계정 A의 AWS Account ID 를 알아야 한다.
2. 소스 확인
: 어떤 EC2의 eth0를 모니터링 할것인가?
3. 필터링 설정
: 필터링에서 보고자 하는것만 허용한다. 모든것을 다 허용해도 된다.
4. 세션 설정
: 소스와 목적지를 지정한다.
https://docs.aws.amazon.com/ko_kr/vpc/latest/mirroring/cross-account-traffic-mirroring-targets.html
<5> 미러링 설정 설명서
https://aws.amazon.com/ko/blogs/korea/new-vpc-traffic-mirroring/
감사합니다.