AWS VPC Traffic Mirroring 이란? (EC2 네트워크 패킷 확인)

Intro

IDC 환경과 다르게, 대부분의 클라우드 서비스는 Managed 형태로서 사용자가 제어할 수 있는 부분의 한계가 있습니다. 그 중 VPC는 가상화된 네트워크이기 때문에 network-level의 가시성을 확보하는 것에 한계가 있죠. VPC flow log 또한 좋은 보조 도구이지만 그 정보가 제한적입니다.

이번 포스팅에서는 VPC의 network-level 트래픽을 간편하고 상세하게 모니터링할 수 있는 VPC Traffic Mirroring에 대해 알아봅니다.

VPC Traffic Mirroring이란?

VPC Traffic Mirroring은 ENI 유형의 네트워크 패킷을 복사하는데 사용할 수 있는 VPC의 기능 중 하나입니다. EC2의 패킷을 NLB 혹은 다른 EC2에 미러링하여, 와이어샤크 등의 도구로 패킷을 분석 / 모니터링할 수 있습니다.

(출처: https://docs.aws.amazon.com/ko_kr/vpc/latest/mirroring/what-is-traffic-mirroring.html)

주로 아래와 같은 목적을 위해 사용될 수 있고, 아래의 장점을 가지고 있습니다.

- 사용 사례

• 컨텐츠 검사
• 잠재적 위협 모니터링 - 침입 차단, 침입 탐지 목적으로 사용 가능 (IDS, IPS 역할)
• 네트워크 트러블 슈팅

- 장점

• Simplified operation - EC2에 별도의 에이전트 설치 없이 패킷 모니터링이 가능
• Enhanced security - ENI로 들어오는 실제 트래픽을 미러링하기 때문에, 날것의(?) 변조되지 않은 패킷을 캡쳐할 수 있음.
• Increased monitoring options - 첫번째와 비슷한데, 에이전트 설치가 없기 때문에 어떤 보안 장비에도 사용가능한 자유도를 가집니다.

또한 같은 VPC 뿐만 아니라 peering, transit 된 network, 타 리전의 VPC로도 소스를 지정하여 미러링할 수 있는 장점이 있습니다.

구성 요소

VPC Traffic Mirroring의 주 구성요소는 아래와 같습니다.

• Source — 모니터링할 소스
• Target — 트래픽을 미러링할 목적지
• Filter — 미러링 시에 정의할 수 있는 필터링 가능한 룰
• Session — 소스와 타겟을 연결하기 위한 커넥션

아래의 아키텍쳐를 보시면 조금 더 가시적으로 확인할 수 있습니다.

원본: AWS Traffic Mirroring Document

비용

시간당 요금이며, ENI 별로 한국 리전 기준 0.018 USD 이 부과됩니다.

제약사항

- 기본적으로 니트로 타입의 인스턴스만을 지원하며, non-nitro 타입 중 지원하는 인스턴스는 아래와 같습니다.

• C4, D2, G3, G3s, H1, I3, M4, P2, P3, R4, X1, X1e

- 아래의 트래픽 타입은 미러링할 수 없습니다.

• ARP
• DHCP
• Instance metadata service
• NTP
• Windows activation

해당 포스팅에서 VPC Traffic Mirroring 서비스에 대해서 알아보았습니다.
피드백 및 의견 환영입니다 🙂