반응형
IGW (Internet Gateway), NAT Gateway, Transit Gateway 등 "게이트웨이 리소스"들은 VPC Traffic Mirroring의 대상이 아닙니다. 미러링은 ENI (Elastic Network Interface) 단위로만 할 수 있어요.
✅ 아웃바운드 트래픽 미러링 원리
🔍 원칙
ENI에서 나가는 트래픽만 미러링 가능 →
즉, 트래픽이 "어떤 인스턴스의 ENI"를 거쳐야 미러링 가능
🧠 어떤 ENI를 미러링해야 할까?
🧩 시나리오 1: EC2 인스턴스에서 직접 아웃바운드 통신하는 경우
- 예: 웹서버, 사용자가 인터넷 접속
- ✅ 해당 EC2의 ENI를 미러링하면 모든 아웃바운드 트래픽 모니터링 가능
🧩 시나리오 2: 프라이빗 서브넷 → NAT Gateway 통해 아웃바운드하는 경우
- NAT Gateway는 ENI가 있긴 하지만, VPC Traffic Mirroring 대상이 아님
- ✅ 이 경우는 NAT Gateway를 사용하는 각 프라이빗 인스턴스의 ENI를 미러링해야 함
🧩 시나리오 3: 컨테이너/서버리스 → NAT Gateway 통해 통신
- 마찬가지로 NAT GW는 안 되고, 해당 ECS 인스턴스의 ENI만 가능
❌ 미러링 불가능한 리소스
리소스미러링 가능 여부
| EC2 ENI | ✅ 가능 |
| ENI가 있는 ALB/NLB | ❌ 미러링 불가 (타겟 그룹의 ENI도 마찬가지) |
| IGW (인터넷 게이트웨이) | ❌ 불가 |
| NAT Gateway | ❌ 불가 |
| Transit Gateway | ❌ 불가 |
| AWS VPN | ❌ 불가 |
✅ 아웃바운드 트래픽 모니터링 실전 팁
- 감시할 대상이 어디서 나가는지 파악
- EC2 인스턴스 → 해당 ENI 미러링
- NAT GW 사용 중이면 → NAT 사용 인스턴스 ENI 미러링
- 미러링 세션은 최대 10개까지 생성 가능하므로 리소스 고려해서 범위 선정
- Zeek/Security Onion 등 분석 시스템에 UDP 4789 포트 수신 허용
🎯 예시: 프라이빗 VPC 아웃바운드 감시
구성설명
| EC2 (10.0.2.10) | 프라이빗 서브넷, NAT GW 통해 인터넷 |
| 감시 대상 ENI | eni-xxxxxxxxx (10.0.2.10의 ENI) |
| 미러링 세션 | 해당 ENI → B 계정의 NLB로 전송 |
| 분석기 | Security Onion or Zeek (VXLAN 수신 분석) |
반응형
'퍼블릭 클라우드 관련 > AWS' 카테고리의 다른 글
| Guard Duty 는 vpc flow logs 수집 없어도 탐지 하는가? (0) | 2025.05.07 |
|---|---|
| [AWS] GuardDuty 테스트를 위한 샘플 생성 방법 (0) | 2025.04.04 |
| [AWS] WAF 룰 그룹 내에 override 동작 정리 (0) | 2025.04.03 |
| [AWS] WAF 룰그룹안에 세부 룰에서 Override to allow 될 경우 동작 (0) | 2025.04.02 |
| [AWS] WebACL를 적용할 수 있는 리소스 (0) | 2025.04.01 |