반응형
VPC Flow Logs를 직접 생성하지 않아도 GuardDuty는 자체적으로 VPC 트래픽을 감지할 수 있지만, VPC Flow Logs와는 별개로 동작하며, 그 내용도 다릅니다.
🛡️ GuardDuty의 네트워크 트래픽 감지 방식
✅ 감지 데이터 소스
GuardDuty는 다음의 내부 AWS 로그 스트림을 이용해 "자동으로" 위협 탐지를 수행합니다:
- VPC Flow Logs
- AWS CloudTrail (관리 이벤트 + DNS 로그 포함)
- Route 53 DNS 로그
- EKS Audit Logs (옵션)
중요: GuardDuty가 사용하는 VPC Flow Logs는 백그라운드에서 AWS가 자체적으로 수집한 사본이며, 사용자가 직접 만든 VPC Flow Log와는 별개입니다.
즉, 사용자가 별도로 VPC Flow Logs를 설정하지 않아도 GuardDuty는 자체적으로 트래픽 흐름을 감지하여 분석합니다.
📊 VPC Flow Logs를 별도로 설정하는 이유
✅ 주요 목적
- 자체 분석 및 SIEM 연동 (예: Elasticsearch, Splunk)
- 트래픽 로그의 장기 보관 및 감사
- 특정 보안 사건에 대한 포렌식 분석
- 애플리케이션 또는 네트워크 레벨 디버깅
GuardDuty는 이상 행위를 탐지하는 데 집중하고, VPC Flow Logs는 전체 네트워크 활동을 상세히 기록합니다.
🔍 예시
도구예시 용도
| GuardDuty | "이 EC2 인스턴스가 Tor exit node로 통신함" 탐지 |
| VPC Flow Logs | "10.0.1.5에서 172.217.22.14:443으로 TCP 연결이 2,300번 발생" |
🔄 둘을 함께 쓰는 이유
통합 목적설명
| 탐지 후 확인 | GuardDuty가 이상 통신을 탐지하면, VPC Flow Logs를 통해 더 많은 맥락(포트, 프로토콜, 반복 빈도 등)을 확인할 수 있음 |
| 맞춤 자동화 | 특정 IP나 포트를 VPC Flow Logs에서 조건으로 탐지하여 EventBridge → Lambda → 차단 조치 자동화 |
| 규정 준수 | VPC Flow Logs는 완전한 네트워크 로그를 남기므로 규제 기관 요구 사항 충족 |
📝 정리
항목GuardDutyVPC Flow Logs
| 활성화 방식 | 클릭 한 번으로 활성화 | VPC 단위로 명시적으로 설정 필요 |
| 로그 저장 | 자동 처리, 사용자 접근 불가 | S3에 저장 가능 |
| 목적 | 위협 탐지 및 경고 | 네트워크 흐름 기록 및 분석 |
| 연동 대상 | Security Hub, SNS, EventBridge | Athena, SIEM, S3, Kinesis 등 |
📌 결론
- GuardDuty는 VPC Flow Logs의 미러 데이터를 백그라운드에서 자동으로 활용합니다.
- 직접 VPC Flow Logs를 설정하지 않아도 GuardDuty는 정상 작동합니다.
- 그러나 보안 가시성 강화, 포렌식, 규정 준수 등을 위해 VPC Flow Logs를 별도로 설정하는 것이 보안 모범 사례입니다.
반응형
'퍼블릭 클라우드 관련 > AWS' 카테고리의 다른 글
| AWS VPC 미러링 관련 (0) | 2025.04.18 |
|---|---|
| [AWS] GuardDuty 테스트를 위한 샘플 생성 방법 (0) | 2025.04.04 |
| [AWS] WAF 룰 그룹 내에 override 동작 정리 (0) | 2025.04.03 |
| [AWS] WAF 룰그룹안에 세부 룰에서 Override to allow 될 경우 동작 (0) | 2025.04.02 |
| [AWS] WebACL를 적용할 수 있는 리소스 (0) | 2025.04.01 |