Aws WAF : 시그니쳐 그루핑되어있음.if 마이그레이션하고싶다고하면 룰셋팅 다시할듯.
카운트 옵션으로 로그찍기,
심심할때 혼자서 람다 만들어서 해봐야겠음 사용예시
1. waf에 이벤트 브릿지 연결해서 Lambda쓰고, DynamoDB TTL 이용해서 만료시간 설정해서 룰 삭제하기
2. 람다가 외부에서 IP 긁어와서 WAF에 업데이트하는거.
해당 실습 내용
GuardDuty (finding)(IDS) -> CloudWatch -> SNS(알림), DynamoDB(해당 IP 저장)-> Lambda 가 NACL설정(해당 IP 즉시 블락)->WAF(누적) (IPS까지 확장)
- 회사가 가지고 있는 워크로드안에 CrptoCurrency가 돌고있는 상황일때, (finding) => { 어떤 것을 설정할지, 어떤 것을 할지 정의를 해야함 } (automation)
- 탐지는 했는데 뭐할까요…/? (세부 정보가 나옴) DynamoDB에 IP를 파싱하고 timestamp를 찍기, SNS토픽으로 담당자에게 알림 보내기, 차단은 안한다.
- 이제 블락을 해야되는데 그걸 람다가 함. NACL로 해당하는 것을 옮김. 확인을 하면 Subnet단위로 그 즉시 그냥 차단을 다 박아버림. 예를들어 10분정도 했다가 지워버리기 이런거 (뭐 그렇다고.. NACL이 성능이슈도 있고해서 자주 안씀…)
- WAF에 deny list에 우리 사이트에 맞춰서 누적 시켜주게됨. 우리 어카운트에 접근했던 deny list를 누적할수있게됨.
- Retention time in minutes ( 빼버리는 작업 ) 5분으로 바꾸기 (600분 넘 많아)
- WAF에서 서울로 변경
- 기본적으로 ALB여서 리저넌
- waf에 ip set 만드는거 IP rule 넣는거, IPset 넣는거
자동화에서 Lambda가 빠지는 곳이 없네ㅋㅋㅋㅋ진짜 할수있는 일이 엄청 많아지는 것 같다.
Lambda를 섹시하게 짜는 사람이 되야겠다.. .
유사 IT 항해