Iemand vroeg om VPC Flow Logs en we weten niet waar te beginnen
Flow Logs leggen accept/reject van netwerkverkeer per ENI vast. Voor security-investigatie en cost-troubleshooting (NAT) onmisbaar. Setup is een aanvinken in elke cloud, zorg vooral dat je ze niet naar dezelfde regio dumpt als je hopen aan kosten.
Probeer dit eerst zelf
- 1AWS: VPC Flow Logs aanzetten op VPC-niveau, output naar S3 of CloudWatch Logs. S3 is goedkoper voor archief, CloudWatch beter voor live-query.
- 2Activeer alleen REJECT-traffic als de volume te hoog is, of beide voor 14 dagen retentie. ALL is volledig maar kan TB's per maand kosten in een drukke VPC.
- 3Azure: NSG Flow Logs naar een storage-account, query via Traffic Analytics in Log Analytics. Zelfde patroon.
- 4GCP: VPC Flow Logs in de subnet-config, sample-rate 0.5 of 1.0. Output naar BigQuery of Cloud Logging.
- 5Bouw een paar standaard-queries: top-talkers, rejected-internal, untagged-traffic. Anders ligt het ongebruikt.
Wanneer ons inschakelen
Voor een actieve security-investigatie of pen-test is Flow Logs alleen niet genoeg. Daar is mirror-traffic of packet-capture het juiste niveau, en hulp van iemand met netwerk-forensics.
Zie ook
- Iedereen logt in met het root-account van AWSHet root-account is voor noodgevallen en facturatie. Dagelijks werk hoort via IAM-users of SSO.
- Iedere developer heeft AdministratorAccessAdministratorAccess overal is gemak nu, drama later. Begin met rolgebaseerde policies.
- Iedereen heeft losse IAM-users met eigen wachtwoordIdentity Center (voorheen AWS SSO) koppelt aan je IdP en geeft tijdelijke credentials per sessie.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.