개요
금융권과 같이 보안 이 중요한 곳에서는 네트워크 액션에 대한 로그를 모두 남겨야 한다.
필자가 구축한 설계 중 sagemaker studio에 vpc flowlogs를 남긴 방법을 정리해둔다.
sagemaker studio 구성도
sagemaker studio를 구축할 때 네트워크 구성에 몇가지 옵션이 있는데 필자는 private subnet을 통해 기본적으로는 인터넷 연결 없이 studio의 모든 네트워크 엑션이 vpc 안에서 일어나도록 만들었고 필요시 nat gateway를 통해 outbound 인터넷 통신이 가능하게 만들었다.
이 설계 기준 Sagemaker-Studio-VPC
를 flow logs를 남기고자 한다.
vpc flowlogs 적용 개념
vpf flowlogs를 적용하는 2가지 방법 중 관리 포인트를 줄이기 위해 vpc flowlogs with clodwath로 진행하고자 한다.
- vpc의 flow log를 cloudwatch로 저장/조회
- vpc flow log를 s3로 저장 후 조회(athena를 활용하기도 함)
vpc flowlogs 적용방법
적용은 구글링에 나와있는 cloud formation버전 vpc flowlogs 적용법으로 진행하였다.
검증: vpc flowlogs 확인
vpc 대시보드에서 Sagemaker-Studio-VPC
를 선택해보면 sms-flowlogs
라는 이름으로 flowlogs설정이 정상적으로 된 것을 알 수 있다.
cloud watch에 로그 그룸 중 sms-flowlogs
를 살펴본다. 필자는 로그 보관주기를 1개월로 설정하였다.
아래 그림과 같이 네트워크 액션이 모두 잘 남는것을 알 수 있다.