🔔 알림 모드(Alert Mode)란?트래픽을 DROP하거나 REJECT하지 않고,로그만 남기고 통과시키는 모드입니다.즉, 공격이나 이상 트래픽을 **탐지(Log)**는 하지만,실제로 트래픽은 차단하지 않습니다. Alert Mode 활성화 시룰 자체는 변경하지 않아도 되고,방화벽 정책 또는 룰 그룹 레벨에서 Alert Mode 활성화하면위와 같은 DROP 룰도 **"차단하지 않고 로그만 남김"**으로 동작함🧠 어디서 설정하나요?AWS 콘솔:Network Firewall → 방화벽 정책 선택 → 상태 저장 규칙 그룹룰 그룹 우측의 "편집" 클릭→ Alert mode: 활성화 📂 로그에서는 어떻게 보일까?action: "ALERT" 으로 로그에 남습니다:{ "event": { "action": ..

🟢 1. 흐름 플러시 구성 (Flow Log Flush Configuration)🔹 목적:"로그를 얼마나 자주 전송할지" 설정하는 옵션🔹 설명:Network Firewall은 트래픽 흐름을 일정 시간 단위로 수집하고,**그 주기(Flush Interval)**에 따라 CloudWatch Logs 또는 S3로 로그를 버퍼링해서 보냅니다.🔹 주요 설정:옵션설명Flush interval (초)로그를 얼마나 자주 "플러시"해서 로그 대상에 보낼지 설정 (기본 60초)📦 이건 성능과 비용에 영향을 줄 수 있어요.자주 플러시하면 실시간에 가깝게 확인 가능하지만, 로그 양이 많아지고 비용이 증가할 수 있어요.🟣 2. 흐름 캡처 구성 (Flow Log Capture Configuration)🔹 목적:"어떤..

✅ Sentry의 주요 용도1. 에러 모니터링JavaScript, Python, Node.js, Java, Swift 등 다양한 언어에서 발생하는 예외(Exception)를 자동으로 수집어떤 에러가, 어느 파일에서, 어떤 유저/세션에서, 어떤 조건에서 발생했는지 확인 가능브라우저 콘솔에 안 찍혀도 백그라운드에서 잘 잡힘2. 실시간 알림특정 에러가 발생하면 Slack, 이메일, Discord 등으로 실시간 알림 전송 가능새로운 이슈/반복되는 이슈 자동 그룹화3. 유저별 에러 추적에러가 발생한 사용자의 정보(User ID, 이메일 등)를 연동하면, 어떤 사용자가 어떤 오류를 겪었는지 파악 가능4. 릴리즈 추적어떤 코드 릴리즈 버전에서 버그가 생겼는지 추적 가능특정 버전에서만 터지는 오류 확인 가능5. 퍼포먼..

🎯 먼저, Stateless vs Stateful 차이 요약유형설명특징Stateless (상태 비저장)트래픽 패킷 각각을 독립적으로 처리빠르지만 세션 정보 없음Stateful (상태 저장)세션을 추적하여 패킷의 흐름을 분석더 정확하고 복잡한 정책 적용 가능→ Network Firewall은 둘 다 사용할 수 있고, Stateless는 선필터 역할, Stateful은 본격적인 정책 적용 역할을 합니다.📘 "상태 비저장 기본 작업"이란?이건 Stateless 룰 그룹과 일치하지 않는 패킷들을 어떻게 처리할지 설정하는 기본 동작이에요.즉, 룰 그룹에 명시적으로 매칭되지 않은 트래픽에 대해 “기본적으로 차단할 건가, 허용할 건가, Stateful로 넘길 건가?”를 지정하는 항목입니다. 🧩 각 항목 설명🔹..

상태 비저장 규칙 그룹을 없애면 상태 저장그룹으로 넘어갈텐데, 상태 저장그룹에서 하나도 매핑 안되면 drop될까?🎯 요점 먼저:✅ Stateful로 넘어간 트래픽이 어떤 룰에도 매칭되지 않으면,🔻 기본적으로 DROP 처리됩니다.🔄 흐름 다시 정리1. Stateless 룰 그룹 ❌ 없음→ 모든 트래픽은 기본 동작(default stateless action) 설정에 따라 Stateful로 넘어감2. Stateful로 넘어간 트래픽→ 룰 그룹에 매칭 시도✅ 매칭됨 → ALLOW, DROP, ALERT, LOG 등 룰에 따라 처리됨❌ 매칭 안됨 → 기본 동작: DROP 처리🔒 이유: Stateful은 Default ALLOW가 아님Stateful 룰 그룹은 "허용만 명시하고 나머지는 차단" 하는 보안 ..

🎯 요점 먼저:✅ "Stateless 룰에서 명시적으로 PASS 처리되면, 해당 트래픽은 Stateful로 넘어가지 않습니다.**🔄 흐름 다시 보기트래픽은 다음 순서로 처리됩니다:Stateless 규칙 그룹에 매칭 시도매칭되면 → 룰에 정의된 대로 처리 (PASS or DROP)매칭되지 않으면 → "상태 비저장 기본 작업(Default Action)"에 따라 처리✅ 예시로 이해해보기예시 1: Stateless 룰에서 0.0.0.0/0 → PASS 설정Stateless 룰 그룹:- Source: 0.0.0.0/0- Destination: 0.0.0.0/0- Action: PASS이 경우 모든 트래픽이 Stateless에서 PASS 처리되므로,→ Stateful로 안 넘어감→ 따라서 Stateful 룰도..

🚨 블랙홀(Blackhole) 상태란?블랙홀 상태(Blackhole)는 Transit Gateway(TGW) 라우팅 테이블에 있는 특정 경로가 더 이상 유효하지 않거나 대상이 존재하지 않을 때 발생합니다.즉, 패킷이 해당 경로로 전달되지만 어디에도 도달하지 못하고 삭제됨을 의미합니다.1️⃣ 블랙홀(Blackhole) 발생 원인과 해결 방법🛑 1. 대상(TGW Attachment)이 삭제되었거나 존재하지 않는 경우TGW 라우팅 테이블에서 특정 VPC, VPN, Direct Connect 또는 NFW를 가리키는 경로가 있지만, 해당 Attachment가 삭제되었거나 존재하지 않는 경우 블랙홀 상태가 됩니다.✅ 해결 방법:AWS 콘솔 → Transit Gateway Attachments 확인Attachme..

AWS에서 데이터를 물리 서버(On-Premise)로 전송하는 비용과 AWS 내에서 데이터를 전송하는 비용은 다릅니다.AWS에서는 인터넷을 통해 나가는 데이터 (Egress) 비용이 부과되지만, AWS 내부 전송은 무료 또는 저렴하게 제공됩니다.✅ 1. AWS에서 물리 서버로 데이터 전송 비용 (인터넷 egress)AWS에서 외부(인터넷, 온프레미스 데이터센터)로 데이터를 보낼 경우 비용이 발생합니다.비용은 리전에 따라 다르지만, 일반적으로 다음과 같습니다.전송량 (월간)AWS → 물리 서버 (인터넷 데이터 전송 비용)최대 1GB무료1GB ~ 10TB$0.09/GB10TB ~ 50TB$0.085/GB50TB ~ 150TB$0.07/GB150TB 이상별도 문의 (할인 가능)📌 예제:✅ AWS에서 매월 1..

IDP (Identity Provider)란?IDP(Identity Provider, 신원 제공자) 는 사용자의 인증(로그인) 및 ID 관리를 담당하는 시스템입니다.즉, 사용자가 다양한 서비스(예: JumpServer, AWS, Google, OpenSearch 등)에 로그인할 때 IDP가 인증을 수행하고 접근 권한을 부여합니다.1️⃣ IDP가 하는 역할✅ 1. 사용자 인증(Authentication)사용자가 로그인하면 IDP가 비밀번호 또는 MFA(다중 인증) 확인인증 성공 후, 액세스 토큰 또는 세션 발급✅ 2. 사용자 정보 제공 및 관리사용자의 ID, 이메일, 그룹 정보 등을 관리다른 시스템(예: AWS, OpenSearch)에서 IDP를 통해 사용자 정보를 조회할 수 있음✅ 3. Single Si..

Security Onion, Wazuh, OpenSearch, 그리고 AWS AI 서비스를 결합하면 강력한 보안 모니터링 및 위협 탐지 시스템을 구축할 수 있습니다.이 조합을 활용하면 실시간 보안 분석, AI 기반 위협 탐지, 자동화된 대응이 가능합니다.1️⃣ 아키텍처 개요🔹 목표 시스템 구성솔루션역할Security Onion네트워크 기반 침입 탐지 (NSM), 로그 분석, 포렌식Wazuh호스트 기반 보안 모니터링 (HIDS), SIEM, 규정 준수OpenSearch로그 및 이벤트 데이터 저장, 시각화 및 분석 (ELK 대체)AWS AI 서비스AI 기반 이상 탐지, 자동화된 대응 (Amazon Bedrock, SageMaker, Lookout for Metrics 등)💡 데이터 흐름:Security ..