AWS Traffic Mirroring

grovince·2024년 9월 13일
AWS Technic Blog

AWS 고수가 되는 그 날까지

목록 보기
1/3

참고 사이트
What is Traffic Mirroring? - Amazon Virtual Private Cloud
Using VPC Traffic Mirroring to monitor and secure your AWS infrastructure | Amazon Web Services


Traffic Mirroring

: 탄력적 interface 유형의 네트워크 인터페이스에서 분석을 위한 대상으로 네트워크 트래픽을 복사하는데 사용할 수 있는 Amazon VPC 기능

: Traffic Mirroring은 필터와 패킷 분리를 지원하므로 선택한 모니터링 도구를 사용하여 관심 있는 트래픽만 추출할 수 있다


사용 목적

: Traffic Mirroring을 통해 AWS에서 다양한 네트워크 기반 모니터링 및 분석 솔루션이 가능하다

: 콘텐츠 검사에 필요한 원시 패킷 데이터를 캡처함으로써 VPC 트래픽 미러링은 별도의 소프트웨어나 에이전트를 설치할 필요 없이 EC2 인스턴스에서 네트워크 트래픽을 수집할 수 있다

: 사용자가 관심 있는 트래픽만 추출하도록 필터를 구성할 수 있고, 이를 통해 네트워크의 부하를 최소화할 수 있다


Traffic Mirroring 작동 방식

  • VPC Traffic Mirroring은 미러링 소스와 미러링 대상 간에 세션 설정을 통해 작동한다

1. 기본 작동 방식

  • 트래픽 미러링 리소스로는 퍼블릭 서브넷의 A, B 인스턴스와 프라이빗 서브넷의 C, D 인스턴스이다.

  • 트래픽 미러링 대상으로는 EC2에 연결된 탄력적 네트워크 인터페이스와 네트워크 로드 밸런서이다.

    1. 탄력적 네트워크 인터페이스 : EC2 인스턴스의 가상 모니터링 어플라이언스에 연결된 가상 네트워크 카드이다
    2. 네트워크 로드 밸런서 : 여러 가상 모니터링 어플라이언스 인스턴스 간에 트래픽을 분산한다
      • 가상 모니터링 어플라이언스 : 네트워크 트래픽을 분석하기 위해 EC2 인스턴스에서 실행되는 특수 소프트웨어

  • 네트워크 부하 분산 장치는 가상 모니터링 어플라이언스 인스턴스(네트워크 트래픽 분석을 하기 위한 EC2 인스턴스)의 앞단에 배치된다.

  • 네트워크 부하 분산 장치는 자동 확장 그룹의 일부로 배포되어 가상 모니터링 어플라이언스를 네트워크 부하에 따라 확장 또는 축소할 수 있다

  • NLB와 모니터링 어플라이언스 인스턴스는 동일하거나 다른 VPC에 배치될 수 있다

위 그림의 경우 여러 가상 모니터링 어플라이언스를 배포해야 하는 상황에서, 여러 VPC 트래픽 미러링 세션을 생성하여 운영할 수 있으나, 이는 관리하기가 복잡하다.

그림 2와 같이 VPC 트래픽 미러링을 타사 클라우드 패킷 브로커와 결합하여 배포할 수 있다.


2. 타사 클라우드 패킷 브로커와 결합한 작동 방식

  • 클라우드 패킷 브로커는 모든 미러링된 트래픽을 처리해야 하므로 트래픽 부하에 따라 크기를 조정해야 한다.
  • 모니터링 어플라이언스로 보내기 전에 고급 변환 기능(ex, TLS 복호화, 중복 제거 등)을 수행할 수 있으며, 이는 데이터 전송 비용을 최적화할 수 있다.

2-1. 분산형 배포 vs 중앙 집중형 배포

네트워크 도구를 워크로드에 가깝게 배포해 따로 트래픽을 처리해야하는 분산형 배포 vs 트래픽을 한번에 처리해야하는 중앙 집중형 배포

a. 분산형 배포 모델

  1. 일반적인 경우, 분산형 배포 모델이 선호된다
    1. 모니터링 어플라이언스를 실제 워크로드에 가까이 배치하게 된다면, 트래픽 분산, 데이터 전송 비용을 절감할 수 있다.
    2. 그러나, 이 방법은 로컬에 배치하게 되는 모니터링 어플라이언스 인스턴스의 수가 많아지므로, 발생하는 비용을 고려해야한다.

  1. 보안 매커니즘을 보완하려는 경우
    2-1. 트래픽 검사 매커니즘
    1. Amazon GuardDuty가 EC2에서 문제가 되는 트래픽을 감지한다
    2. Amazon CloudWatch Events가 문제가 되는 트래픽에 대한 알람을 AWS Lambda로 전송한다
    3. AWS Lambda가 알람을 처리하고 모니터링이 필요한 EC2 인스턴스를 식별한다
    4. AWS Lambda가 Virtual Monitoring Appliance 를 실행시켜 VPC 트래픽 미러링 세션을 만든다
      • 미러링 세션 : 트래픽 미러 소스, 트래픽 미러 대상, 필터(어떤 트래픽을 미러링할지 결정하는 규칙)
    5. EC2에 문제가 되는 트래픽을 미러링한다
    6. 미러링된 트래픽은 virtual monitoring appliance로 전송된다
    7. virtual monitoring appliance는 EC2로부터 미러링된 트래픽을 분석한다
    8. 분석 후 생긴 virtual monitoring appliance의 로그는 S3에 저장된다
    9. Amazon Athena는 S3에 저장된 로그를 검사한다 이 경우 미러링 세션은 짧은 시간 동안만 지속되므로 분산 배포 모델에서 적은 비용이 소모된다

b. 중앙 집중형 배포 모델

  • 중앙 집중식 모니터링 모델은 대량의 인프라를 모니터링할 때 좋은 옵션이다
  • 책임 분리가 되어 있는 경우에 사용된다
    -> 예를 들어 개발 및 배포를 담당하는 팀과 배포된 클라우드 인프라의 운영 상태 및 보안을 관리하는 팀으로 역할이 나뉘어져 있는 경우

    - 해당 아키텍처에서 가상 모니터링 어플라이언스는 여러 VPC 및 계정에서의 트래픽을 모니터링하기 위해 배포된다
    - 이 경우 모니터링 어플라이언스 인스턴스가 있는 대상으로 NLB를 사용하여 트래픽을 분산하는 것을 권장한다
profile
grovince
고인물이 되는 그날까지
다음 포스트

EFS vs EBS

0개의 댓글