🔔 알림 모드(Alert Mode)란?트래픽을 DROP하거나 REJECT하지 않고,로그만 남기고 통과시키는 모드입니다.즉, 공격이나 이상 트래픽을 **탐지(Log)**는 하지만,실제로 트래픽은 차단하지 않습니다. Alert Mode 활성화 시룰 자체는 변경하지 않아도 되고,방화벽 정책 또는 룰 그룹 레벨에서 Alert Mode 활성화하면위와 같은 DROP 룰도 **"차단하지 않고 로그만 남김"**으로 동작함🧠 어디서 설정하나요?AWS 콘솔:Network Firewall → 방화벽 정책 선택 → 상태 저장 규칙 그룹룰 그룹 우측의 "편집" 클릭→ Alert mode: 활성화 📂 로그에서는 어떻게 보일까?action: "ALERT" 으로 로그에 남습니다:{ "event": { "action": ..

🟢 1. 흐름 플러시 구성 (Flow Log Flush Configuration)🔹 목적:"로그를 얼마나 자주 전송할지" 설정하는 옵션🔹 설명:Network Firewall은 트래픽 흐름을 일정 시간 단위로 수집하고,**그 주기(Flush Interval)**에 따라 CloudWatch Logs 또는 S3로 로그를 버퍼링해서 보냅니다.🔹 주요 설정:옵션설명Flush interval (초)로그를 얼마나 자주 "플러시"해서 로그 대상에 보낼지 설정 (기본 60초)📦 이건 성능과 비용에 영향을 줄 수 있어요.자주 플러시하면 실시간에 가깝게 확인 가능하지만, 로그 양이 많아지고 비용이 증가할 수 있어요.🟣 2. 흐름 캡처 구성 (Flow Log Capture Configuration)🔹 목적:"어떤..

🎯 먼저, Stateless vs Stateful 차이 요약유형설명특징Stateless (상태 비저장)트래픽 패킷 각각을 독립적으로 처리빠르지만 세션 정보 없음Stateful (상태 저장)세션을 추적하여 패킷의 흐름을 분석더 정확하고 복잡한 정책 적용 가능→ Network Firewall은 둘 다 사용할 수 있고, Stateless는 선필터 역할, Stateful은 본격적인 정책 적용 역할을 합니다.📘 "상태 비저장 기본 작업"이란?이건 Stateless 룰 그룹과 일치하지 않는 패킷들을 어떻게 처리할지 설정하는 기본 동작이에요.즉, 룰 그룹에 명시적으로 매칭되지 않은 트래픽에 대해 “기본적으로 차단할 건가, 허용할 건가, Stateful로 넘길 건가?”를 지정하는 항목입니다. 🧩 각 항목 설명🔹..

상태 비저장 규칙 그룹을 없애면 상태 저장그룹으로 넘어갈텐데, 상태 저장그룹에서 하나도 매핑 안되면 drop될까?🎯 요점 먼저:✅ Stateful로 넘어간 트래픽이 어떤 룰에도 매칭되지 않으면,🔻 기본적으로 DROP 처리됩니다.🔄 흐름 다시 정리1. Stateless 룰 그룹 ❌ 없음→ 모든 트래픽은 기본 동작(default stateless action) 설정에 따라 Stateful로 넘어감2. Stateful로 넘어간 트래픽→ 룰 그룹에 매칭 시도✅ 매칭됨 → ALLOW, DROP, ALERT, LOG 등 룰에 따라 처리됨❌ 매칭 안됨 → 기본 동작: DROP 처리🔒 이유: Stateful은 Default ALLOW가 아님Stateful 룰 그룹은 "허용만 명시하고 나머지는 차단" 하는 보안 ..

🎯 요점 먼저:✅ "Stateless 룰에서 명시적으로 PASS 처리되면, 해당 트래픽은 Stateful로 넘어가지 않습니다.**🔄 흐름 다시 보기트래픽은 다음 순서로 처리됩니다:Stateless 규칙 그룹에 매칭 시도매칭되면 → 룰에 정의된 대로 처리 (PASS or DROP)매칭되지 않으면 → "상태 비저장 기본 작업(Default Action)"에 따라 처리✅ 예시로 이해해보기예시 1: Stateless 룰에서 0.0.0.0/0 → PASS 설정Stateless 룰 그룹:- Source: 0.0.0.0/0- Destination: 0.0.0.0/0- Action: PASS이 경우 모든 트래픽이 Stateless에서 PASS 처리되므로,→ Stateful로 안 넘어감→ 따라서 Stateful 룰도..

🚨 블랙홀(Blackhole) 상태란?블랙홀 상태(Blackhole)는 Transit Gateway(TGW) 라우팅 테이블에 있는 특정 경로가 더 이상 유효하지 않거나 대상이 존재하지 않을 때 발생합니다.즉, 패킷이 해당 경로로 전달되지만 어디에도 도달하지 못하고 삭제됨을 의미합니다.1️⃣ 블랙홀(Blackhole) 발생 원인과 해결 방법🛑 1. 대상(TGW Attachment)이 삭제되었거나 존재하지 않는 경우TGW 라우팅 테이블에서 특정 VPC, VPN, Direct Connect 또는 NFW를 가리키는 경로가 있지만, 해당 Attachment가 삭제되었거나 존재하지 않는 경우 블랙홀 상태가 됩니다.✅ 해결 방법:AWS 콘솔 → Transit Gateway Attachments 확인Attachme..

AWS에서 데이터를 물리 서버(On-Premise)로 전송하는 비용과 AWS 내에서 데이터를 전송하는 비용은 다릅니다.AWS에서는 인터넷을 통해 나가는 데이터 (Egress) 비용이 부과되지만, AWS 내부 전송은 무료 또는 저렴하게 제공됩니다.✅ 1. AWS에서 물리 서버로 데이터 전송 비용 (인터넷 egress)AWS에서 외부(인터넷, 온프레미스 데이터센터)로 데이터를 보낼 경우 비용이 발생합니다.비용은 리전에 따라 다르지만, 일반적으로 다음과 같습니다.전송량 (월간)AWS → 물리 서버 (인터넷 데이터 전송 비용)최대 1GB무료1GB ~ 10TB$0.09/GB10TB ~ 50TB$0.085/GB50TB ~ 150TB$0.07/GB150TB 이상별도 문의 (할인 가능)📌 예제:✅ AWS에서 매월 1..

✅ AWS Security Lake란?AWS Security Lake는 보안 로그 및 관련 데이터를 자동으로 중앙 집중화하여 저장하고 분석할 수 있는 서비스입니다. 다양한 AWS 서비스(AWS CloudTrail, VPC Flow Logs, GuardDuty, Security Hub 등) 및 서드파티 보안 솔루션에서 데이터를 수집하고 표준화된 Open Cybersecurity Schema Framework (OCSF) 형식으로 저장합니다.✅ Security Lake 장점1️⃣ 구성이 간단하고 자동화된 로그 수집개별적인 로그 수집 설정 없이도 AWS의 보안 로그(VPC Flow Logs, CloudTrail, Security Hub 등)를 자동으로 수집 가능기존 로그 수집 인프라 대비 설정이 간편하며 운영..

1️⃣ Cloud Shell에서 Firehose 계정의 Canonical ID 확인aws s3api list-buckets --query "Owner.ID""b8a1f3d1e58c9d07b3e12abcd567890abcdef1234567890abc1234567890def" 2️⃣ s3 액세스 제어 목록 -> 다른 aws 계정에 대한 엑세스 입력 후 권한 부여 3️⃣ s3 에 firehose에서 쓸수 있도록 권한 부여 { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowFirehoseAccess", "Effect": "Allow", "Principal": { ..

✅ AWS Security Hub에서 "CIS AWS Foundations Benchmark v3.0.0" 기준으로 다음 작업을 수행Security Hub에서 활성화된 CIS AWS Foundations Benchmark v3.0.0의 제어 정책 중심각도(Severity)가 Medium 이하(Low, Informational)인 항목을 비활성화단, FAILED 상태가 아닌 Medium 심각도의 항목은 그대로 유지🔹 1. AWS CLI 스크립트 (Cloud Shell에서도 실행 가능)아래 스크립트는 Security Hub의 CIS AWS Foundations Benchmark v3.0.0에서 Medium 이하 & FAILED가 아닌 항목을 유지하면서 나머지(Informational, Low 등)를 비활성..