AWS Network Firewall
안녕하세요, 이번 포스팅에서는 AWS Network Firewall에서 새로 출시된 기능을 다뤄보고자 합니다😊
✔️ AWS Network Firewall은 VPC에서 생성한 가상 사설 클라우드(VPC)를 위한 상태 저장형(Stateful) 관리형 네트워크 방화벽이자 침입 탐지 및 방지 서비스인데요!
✔️ Network Firewall을 활용하면 인터넷 게이트웨이, NAT 게이트웨이, VPN, AWS Direct Connect를 통해 들어오거나 나가는 트래픽 등 VPC 경계의 트래픽을 효과적으로 필터링할 수 있습니다.
✔️ 다양한 유형의 트래픽을 효과적으로 감지하고 차단하는 ‘방화벽’ 본연의 역할은 잘 수행해왔지만, 콘솔에서 제공하는 네트워크 방화벽의 모니터링 기능은 다소 아쉬운 점이 있었는데요,
⭐ 이번 업데이트로 새롭게 제공되는 대시보드를 통해 네트워크 방화벽을 어느 정도 수준까지 모니터링할 수 있는지 살펴보겠습니다! ⭐
01. 테스트 환경
AWS Network Firewall 설정 방법은 이번 글에서는 다루지 않겠습니다
02. 정책 구성
대시보드 확인을 위한 테스트이기 때문에, 정책은 간단하게 Suricata 규칙을 적용하여 특정 IP에서 tcp 접근을 거부하게 설정했습니다.
reject tcp 10.10.10.10 any -> any any (sid:1;)03. 모니터링 대시보드 활성화
대시보드를 활성화하기 위해서는, 기본적으로 Amazon CloudWatch 또는 Amazon S3로 흐름 또는 경고 로그를 활성화해야 합니다.
아래와 같이, 네트워크 방화벽 생성시에 활성화할 수 있습니다.
이미 생성된 방화벽이라면, [로깅] 항목에서 활성화할 수 있습니다.
04. 모니터링 대시보드 항목 확인
각 AZ, Statefull/Stateless 별로 Received Packets을 모니터링 할 수 있었습니다.
네트워크 방화벽을 통해 통신되는 트래픽의 총 연결 수, 거부된 연결 수, 삭제된 연결 수, 고유한 대상을 하나의 위젯에서 시간대별로 확인할 수 있습니다.
상위 10, 50, 100개의 상위 토커(Top talkers)를 확인할 수 있습니다.
소스 및 타켓 IP 주소와 포트, 프로토콜, 패킷 수 별로 토커 당 카운트 수와 전체 트래픽 중 비율을 확인 가능합니다.
또한, 거부된 상위 트래픽 및 삭제된 상위 트래픽도 확인 가능합니다.
HTTP 및 TLS SNI 관련 트래픽도 대시보드 상에서 확인 가능합니다.
위와 같이 AWS Firewall 대시보드를 테스트해보았는데요,
대시보드 반영에 약간의 지연이 있는 건 아쉬웠지만, AWS가 모니터링까지 통합적으로 관리하려는 방향성이 느껴져서 좋은 경험이었습니다. AWS 클라우드 환경에서 운영 중인 팀이라면 한 번쯤 도입을 검토해보는 것도 괜찮을 것 같습니다!
긴 글 읽어주셔서 감사합니다! 😄
