iT邦幫忙

2021 iThome 鐵人賽

DAY 16
1
AI & Data

Data on AWS - 實作建立 Data Analytics Pipeline系列 第 16

【Day 16】 介紹 AWS 中資訊安全 - 流量相關日誌

  • 分享至 

  • xImage
  •  

大家午安~
就以先前我們於 AWS 建置個人的 WordPress 網站舉例(如下圖所示),若要訪問 WordPress 網站,使用者會透過網際網路連線到 AWS 的東京區域的客戶 VPC Public Subnet 的 EC2 中
https://ithelp.ithome.com.tw/upload/images/20210930/20131073k5Q96RFICD.png

昨天我們也提到為了阻擋 DDos 類似的攻擊,我們可以在 Server 前面加上 AWS CloudFront,進一步可以在AWS CloudFront 佈署 WAF 規則,來避免 SQL Injection、XSS 等常見攻擊(如下圖所示)
https://ithelp.ithome.com.tw/upload/images/20210930/20131073Yl8kzgoK6a.png


而這些對應的服務也有對應的日誌紀錄:

VPC 日誌

我們有許多服務會放在 AWS VPC (客戶的虛擬網路區域)裡面內,像是:虛擬機( EC2 )、資料庫( RDS、Aurora )、資料倉儲( Redshift )等,故我們可以透過啟用 VPC 日誌,來抓取傳入以及傳出這個 VPC 的流量資料,且這些 VPC 日誌也可以把它儲存到 S3 存放,已被後續分析使用。
VPC 日誌有紀錄很多欄位,像是:來源 & 目標 IP 位址、來源 & 目標 port、subnet 編號、流量類型、封包大小等,詳細欄位說明可以詳[3],後續我們也會實作如何啟用 VPC 日誌以及匯入 BI 進行分析。


CloudFront 日誌

如果你今天在 Server 前有架設 CloudFront,那麼我們也可以建立 CloudFront 的日誌來觀察網路流量的情況,那CloudFront 日誌包含的欄位有部分跟 VPC 相同,但有幾個欄位僅有,像是:HTTP 狀態碼、HTTP 請求方法、用戶的請求的節點、Referer、User-Agent 等,詳細欄位說明可以詳[1],後續我們也會實作如何啟用 CloudFront 日誌以及匯入 BI 進行分析。


WAF 日誌

WAF 是一種 Web 應用程式防火牆,我們可以部屬在 CloudFront 上制定規則控制流量的分發,故 CloudFront 日誌與 WAF 日誌最大不同是,WAF 日誌有紀錄此筆踩到的規則編號、規則的動作( Allow / Block )等,詳細欄位說明可以詳[2],後續我們也會實作如何啟用 WAF 日誌以及匯入 BI 進行分析。


因應不同的架構、不同的需求以及情境,使用者可以自行評估需要哪些日誌資料並進行資料蒐集、分析,明天我們會先實作 - 『如何啟用 VPC 日誌以及匯入 BI 進行分析』

那就明天見囉 : D ~

如果有任何指點與建議,也歡迎留言交流,一起漫步在 Data on AWS 中。

參考&相關來源:
[1] CloudFront 日誌
https://docs.aws.amazon.com/zh_tw/AmazonCloudFront/latest/DeveloperGuide/logging.html
[2] WAF 日誌
https://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/logging.html
[3] VPC 日誌
https://docs.aws.amazon.com/zh_tw/vpc/latest/userguide/flow-logs.html#flow-logs-basics


上一篇
【Day 15】 為何要進行資安攻擊的分析
下一篇
【Day 17】 實作 - 啟用 AWS VPC 日誌
系列文
Data on AWS - 實作建立 Data Analytics Pipeline30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言