Amazon Virtual Private Cloud（VPC）是一种商业云计算服务，用户可以在AWS云上创建一个逻辑隔离的区域，在该部分中，用户可以在自己定义的虚拟网络中启动AWS资源。它本质上使管理员能够在AWS云的私有隔离部分中创建资源，如EC2实例、数据库和其他AWS服务。

缺乏日志记录和监控Amazon VPC ，为何会导致网络威胁增加？

以下是缺乏日志记录和监控 Virtual Private Cloud （VPC） ，为何会导致各种网络安全威胁并增加攻击成功的可能性：

• 未检测到的威胁：如果没有适当的日志记录和监控系统，包括恶意软件感染、未经授权的访问尝试和异常网络活动在内的安全问题可能不会被检测到。攻击者可以在不触发告警的情况下执行恶意操作或利用漏洞，这使他们能够在环境中长时间运行而不会被注意到。
• 缺少告警：如果没有实时监控和告警，安全团队可能无法及时收到环境中发生的安全事件或异常的通知。由于事件识别和响应的延迟，攻击者将有额外的时间来执行他们的恶意活动，这可能会导致数据泄露、系统泄露或服务中断。
• 无法执行日志取证：缺乏全面的日志记录使安全团队难以进行有效的取证分析并确定事件的根本原因。在没有完整的系统和网络活动日志的情况下，重建导致事件的事件顺序或查明攻击者使用的策略、方法和程序 （TTPs） 可能具有挑战性。
• 不合规：缺乏适当的记录和监控措施可能会导致不符合法规要求。

另一方面，监控用户活动、文件访问和系统修改可以帮助发现暗示内部威胁的异常活动，并防止可能的数据泄露。

为了检测和控制这些事件，需要使用Amazon Web Services提供的本地监控工具对虚拟私有云（VPC）的各个组件进行监控和分析，如NAT网关监控、VPC流量日志等。

监控 NAT 网关

网络地址转换（NAT）是一种网络技术，主要用于将私有IP地址转换为公共IP地址，从而允许多个设备共享一个公共IP地址进行通信。它允许私有子网中的实例与互联网或其他 AWS 服务建立连接并向其发送流量，但是，它不允许来自互联网的入站流量到达实例。

当 NAT 网关将实例发送的数据转发到互联网时，它会将私有子网 IPv4 地址替换为 NAT 设备地址，收到响应后，NAT 设备地址将替换为 IPv4 地址，然后再将响应转发到实例。NAT 网关不支持 IPv6 流量。NAT 网关服务完全由Amazon管理，不需要管理员做任何工作。

Amazon CloudWatch 是一项用于监控和收集来自 Amazon Web Services（AWS）资源和应用程序的数据以实时提供可操作见解的服务，可用于监控 NAT 网关。

CloudWatch 首先从 AWS 基础设施上托管的 AWS 资源、应用程序和服务中收集以日志、事件和指标形式存在的数据，还监控资源并提供与各种指标（如 CPU 利用率、延迟和磁盘存储）相关的关键信息。

它提供标准报告并在仪表板上显示信息，这些信息可用于分析各种趋势、关联数据和监视资源的性能。如果检测到任何问题，可以立即进行故障排除。用户还可以通过设置所选指标的阈值和启用在发生任何更改时，将发送给用户的通知来配置警报以触发操作。

来自 NAT 网关的指标数据每隔一分钟提供给 CloudWatch。CloudWatch 收集活动连接、传输的字节数和数据包数等数据，并使用它来监控网关，如果出现任何问题，可以立即排除故障。CloudWatch 指标数据将记录并保留 15 个月，无需额外付费，之后数据点将过期，并在新数据点进入时滚动删除。

VPC可以实现适当的云监控所需的必要功能。要监控这些变更，以确保所有这些更改不会影响整个环境，这些基本要求需要持续监测。

使用Amazon VPC的流量日志进行网络监控

流量日志用于记录进入或离开VPC网络接口的网络流量信息。它可以为VPC子网、VPC或网络接口创建，为子网或VPC创建流程日志时，会监控子网或VPC中的所有网络接口。

这些 VPC 流量日志可帮助安全团队监控整个虚拟网络中的流量、检测异常、在发生任何可疑活动时采取措施，以及识别安全组中限制性过强的规则。

流量日志收集的不同信息类型包括源 IP 地址和目标 IP 地址、使用的端口号和协议、传输的数据包和字节、安全组允许和拒绝的网络流量、网络访问控制列表等，每个流量日志记录都包含在聚合间隔（捕获窗口）内发生的 IP 流量的各个组件的值。

流量日志记录的默认格式由以下字段以相同的顺序组成：

默认格式仅记录流日志记录的所有可用字段的子集的信息。如果要记录所有可用字段或字段的不同子集的信息，可以选择自定义格式。自定义格式将帮助管理员根据要求创建流量日志。

下面是一个流量日志记录的示例。在此例中，允许SSH流量进入账号12456788010下的网口eni-1235b8ca134556889。

12456788010 eni-135b8ca1234556889 172.31.16.139 172.31.16.21 20641 22 6 20 4229 1417630010 1418530070 ACCEPT OK

监控 Amazon VPC

Log360能从 VPC 环境中的各种来源收集和分析日志数据，例如来自 EC2 实例的 VPC 流日志、CloudTrail 日志和系统日志，以提供 VPC 活动的全面信息。

VPC活动报表可以自动扫描VPC的流量日志，检测对 VPC、网络网关、VPC 终端节点、VPC 路由表、子网和 VPC 路由所做的变更。管理员还可以设置自定义警报，接收有关对 VPC 进行任何不需要的变更的通知，并了解是谁、何时以及从何处进行了更改。

了解{BANNED}{BANNED}{BANNED}最佳佳佳近进行的配置更改，例如将 IP 地址添加到安全组或利用安全组规则批准入站流量。生成的报告提供了对安全组创建和删除、配置变更、授权和撤销的安全组入口和出口、网络网关修改以及网络访问控制列表（ACL）修改的见解。借助这些全面的信息，管理员可以识别可能的安全问题和针对云实例的恶意活动。

获取并分析S3服务器访问日志和AWS CloudTrail日志，以提供有关AWS环境的深刻报告。通过自动配置功能，获取CloudTrail日志所需的繁琐配置过程变得更加简单，此外，提供灵活的日志存储和有效的搜索机制简化了手工取证分析。

通过运行有关关键操作（如存储桶创建和删除）的报告，监控 AWS VPC 环境中的 S3 存储桶更改，这些报告提供了重要的详细信息，例如谁执行了操作、原始 IP 地址、事件发生时间以及发生的任何错误。收集所有 S3 服务失败事件，并提供有关导致活动失败的问题的信息，包括错误号编号和消息。存储桶和对象级别都会记录删除事件，例如 删除存储桶生命周期、删除存储桶策略和删除实例集合。

为了确保托管在云中的敏感企业数据的安全性，识别可能的安全问题并满足监管要求，请密切关注对AWS EC2实例所做的修改，Amazon VPC监控工具可跟踪EC2状态更改，例如实例启动、重启和暂停，并提供有关事件执行者、事件发生的时间和位置的信息。

交互式仪表板提供可视化数据，其中包含有关在云环境中执行的各种操作的见解。实时监控所有修改是谁、何时、何地和如何修改。