AWS Network Firewall 정책의 로깅 구성 - AWS WAF, AWS Firewall Manager 및 AWS Shield Advanced

AWS Network Firewall 정책의 로깅 구성

이 섹션에서는 Network 방화벽 정책에 대한 중앙 집중식 로깅을 활성화하여 조직 내 트래픽에 대한 세부 정보를 얻는 방법에 대해 설명합니다. 흐름 로깅을 선택하여 네트워크 트래픽 흐름을 캡처하거나, 경고 로깅을 선택하여 규칙 동작이 DROP 또는 ALERT로 설정된 규칙과 일치하는 트래픽을 보고할 수 있습니다. AWS Network Firewall 로깅에 대한 자세한 내용은 AWS Network Firewall 개발자 안내서AWS Network Firewall의 에서 로깅 네트워크 트래픽 로깅 을 참조하세요.

정책의 네트워크 방화벽 방화벽에서 Amazon S3 버킷으로 로그를 전송합니다. 로깅을 활성화하면 AWS Network Firewall은 예약된 AWS Firewall Manager 접두사 <policy-name>-<policy-id>를 사용하여 선택한 Amazon S3 버킷에 로그를 전송하도록 방화벽 설정을 업데이트하여 구성된 각 네트워크 방화벽에 대한 로그를 전송합니다.

참고

Firewall Manager는 이 접두사를 사용하여 Firewall Manager에서 로깅 구성을 추가했는지 아니면 계정 소유자가 추가했는지 여부를 결정합니다. 계정 소유자가 자신의 사용자 지정 로깅에 예약된 접두사를 사용하려고 하면 Firewall Manager 정책의 로깅 구성이 해당 접두사를 덮어씁니다.

Amazon S3 버킷을 생성하고 저장된 로그를 검토하는 방법에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서Amazon S3이란 무엇인가요?를 참조하세요.

로깅을 활성화하려면 다음 요구 사항을 충족해야 합니다.

  • Firewall Manager 정책에 지정된 Amazon S3가 존재해야 합니다.

  • 이 경우 다음 권한이 있어야 합니다.

    • logs:CreateLogDelivery

    • s3:GetBucketPolicy

    • s3:PutBucketPolicy

  • 로깅 대상인 Amazon S3 버킷이 AWS Key Management Service에 저장된 키가 있는 서버 측 암호화를 사용하는 경우 AWS KMS 고객 관리 키에 다음 정책을 추가하여 Firewall Manager가 CloudWatch Logs 로그 그룹에 기록할 수 있도록 해야 합니다.

    
{
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:Encrypt*",
        "kms:Decrypt*",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:Describe*"
    ],
    "Resource": "*"
}

단, Firewall Manager 관리자 계정의 버킷만 AWS Network Firewall 중앙 로깅에 사용할 수 있습니다.

네트워크 방화벽 정책에서 중앙 집중식 로깅을 활성화하면 Firewall Manager는 사용자 계정에서 다음과 같은 작업을 수행합니다.

  • Firewall Manager는 선택한 S3 버킷에 대한 권한을 업데이트하여 로그 전송을 허용합니다.

  • Firewall Manager는 정책 범위 내의 각 구성원 계정에 대해 S3 버킷에 디렉토리를 생성합니다. 각 계정의 로그는 <bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>에서 찾을 수 있습니다.

네트워크 방화벽 정책에 대한 로깅을 활성화하려면

  1. Firewall Manager 관리자 계정을 사용하여 Amazon S3 버킷을 생성합니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서에서 버킷 생성을 참조하세요.

  2. Firewall Manager 관리자 계정을 사용하여 AWS Management Console에 로그인한 후 https://console.aws.amazon.com/wafv2/fmsv2에서 Firewall Manager 콘솔을 엽니다. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 필수 조건을 참조하세요.

    참고

    Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 필수 조건을 참조하세요.

  3. 탐색 창에서 보안 정책을 선택합니다.

  4. 로깅을 활성화하려는 네트워크 방화벽 정책을 선택합니다. AWS Network Firewall 로깅에 대한 자세한 내용은 AWS Network Firewall 개발자 안내서AWS Network Firewall의 에서 로깅 네트워크 트래픽 로깅 을 참조하세요.

  5. 정책 규칙 섹션의 정책 세부 정보 탭에서 편집을 선택합니다.

  6. 로그를 활성화하고 집계하려면 로깅 구성에서 하나 이상의 옵션을 선택합니다.

    • 흐름 로그 활성화 및 집계

    • 알림 로그 활성화 및 집계

  7. 로그를 전송할 Amazon S3 버킷을 선택합니다. 활성화한 각 로그 유형에 맞는 버킷을 선택해야 합니다. 두 로그 유형에 동일한 버킷을 사용할 수 있습니다.

  8. (선택 사항) 사용자 지정 구성원 계정 생성 로깅을 정책의 로깅 구성으로 대체하려면 기존 로깅 구성 재정의를 선택합니다.

  9. 다음을 선택합니다.

  10. 설정을 검토한 다음 저장을 선택하여 변경 내용을 정책에 저장합니다.

Network 방화벽 정책에 대한 로깅을 비활성화하려면

  1. Firewall Manager 관리자 계정을 사용하여 AWS Management Console에 로그인한 후 https://console.aws.amazon.com/wafv2/fmsv2에서 Firewall Manager 콘솔을 엽니다. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 필수 조건을 참조하세요.

    참고

    Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 필수 조건을 참조하세요.

  2. 탐색 창에서 보안 정책을 선택합니다.

  3. 로깅을 비활성화하려는 Network 방화벽 정책을 선택합니다.

  4. 정책 규칙 섹션의 정책 세부 정보 탭에서 편집을 선택합니다.

  5. 로깅 구성 상태에서 흐름 로그 활성화 및 집계알림 로그 활성화 및 집계가 선택되어 있는 경우 이를 선택 취소합니다.

  6. 다음을 선택합니다.

  7. 설정을 검토한 다음 저장을 선택하여 변경 내용을 정책에 저장합니다.