Kích hoạt VPC Flow Logs

Kích hoạt VPC Flow Logs để Giám sát Bảo mật

ℹ️ VPC Flow Logs là gì?
VPC Flow Logs ghi lại thông tin về lưu lượng IP đi vào và ra khỏi các network interface trong VPC của bạn. Dữ liệu này rất quan trọng cho việc giám sát bảo mật, khắc phục sự cố mạng và kiểm toán tuân thủ.

Hướng dẫn Cấu hình VPC Flow Logs từng bước

  1. Truy cập giao diện VPC Flow Logs:

    • Điều hướng đến console VPC
    • Chọn Your VPCs từ menu bên trái
    • Chọn VPC ASG của bạn
    • Nhấp vào tab Flow logs
    • Nhấp Create flow log

  2. Cấu hình các thiết lập Flow Log:

    • Filter: Chọn All (ghi lại tất cả lưu lượng được chấp nhận, từ chối và toàn bộ)
    • Maximum aggregation interval: Chọn 1 minute (để giám sát chi tiết)
    • Destination: Chọn Send to CloudWatch Logs
    • Destination log group: Nhập /aws/vpc/flowlogs
    • IAM role: Chọn Create a new role (AWS sẽ tạo các quyền cần thiết)

  3. Cấu hình định dạng log (Tùy chọn - Nâng cao):

    • Log format: Giữ AWS default format cho workshop này
    • Đối với môi trường production, bạn có thể tùy chỉnh định dạng để bao gồm các trường bổ sung

  4. Thêm tags để quản lý tài nguyên:

    • Key: Name
    • Value: ASG-VPC-FlowLogs
    • Nhấp Create flow log

  5. Xác minh việc tạo Flow Log:

    • Bạn sẽ thấy thông báo thành công
    • Flow Log sẽ xuất hiện trong tab Flow logs với trạng thái Active

Hiểu về Dữ liệu Flow Log

🔍 Định dạng Bản ghi Flow Log
Mỗi bản ghi flow log chứa các thông tin chính sau:

  • srcaddr, dstaddr: Địa chỉ IP nguồn và đích
  • srcport, dstport: Cổng nguồn và đích
  • protocol: Số protocol (6=TCP, 17=UDP, 1=ICMP)
  • action: ACCEPT hoặc REJECT
  • bytes, packets: Các chỉ số về khối lượng lưu lượng

💡 Các trường hợp sử dụng Giám sát Bảo mật
VPC Flow Logs cho phép bạn:

  • Phát hiện các mẫu lưu lượng bất thường
  • Xác định cấu hình sai security group
  • Giám sát các nỗ lực rò rỉ dữ liệu
  • Khắc phục sự cố kết nối
  • Đáp ứng yêu cầu tuân thủ

Truy cập Dữ liệu Flow Log

  1. Xem Flow Logs trong CloudWatch:
    • Điều hướng đến console CloudWatch
    • Chọn Log groups từ menu bên trái
    • Tìm và chọn /aws/vpc/flowlogs
    • Nhấp vào một log stream để xem dữ liệu flow thực tế

🔒 Thực hành Bảo mật Tốt nhất
Kích hoạt Flow Logs trên tất cả VPC production và thiết lập CloudWatch alarms cho các hoạt động đáng ngờ như:

  • Khối lượng lớn kết nối bị từ chối
  • Các mẫu lưu lượng ra ngoài bất thường
  • Kết nối đến các địa chỉ IP độc hại đã biết

💰 Cân nhắc Chi phí
VPC Flow Logs phát sinh phí cho việc lưu trữ CloudWatch Logs và nhập dữ liệu. Để tối ưu chi phí:

  • Sử dụng sampling (ghi lại 1 trong N gói tin) cho môi trường lưu lượng cao
  • Thiết lập thời gian lưu trữ log phù hợp
  • Cân nhắc gửi logs đến S3 để lưu trữ dài hạn với chi phí thấp hơn

⚠️ Ghi chú Quan trọng

  • Flow Logs không ghi lại dữ liệu thời gian thực; thường có độ trễ vài phút
  • Flow Logs không ghi lại lưu lượng đến/từ Amazon DNS servers
  • Các truy vấn metadata đến instance metadata service (169.254.169.254) không được ghi lại