6 commentaires
pour les EC2 faut activer les VPC Flow Logs sur tes interfaces réseau et les envoyer vers CloudWatch Logs ou S3. tu pourras analyser qui parle à qui et vers l'extérieur. pour S3 active les Server Access Logs sur tes buckets. ça te montrera toutes les requêtes, IP source et volume transféré
ouais les flow logs c'est la vie pour ça. et n'hésite pas à regarder aussi les routes de tes tables de routage dans les vpc et les security groups. des fois t'as un vieux bastion ou une lambda qui sert de proxy sans que tu le saches et qui exfiltre des données
update : c'était un stagiaire qui avait mis en place un backup s3 vers un autre compte s3 dans une autre région sans que personne ne le sache. le bucket était public et il y avait une tonne de transfert non autorisé. flow logs et s3 logs ont tout pété au grand jour. la douloureuse va être salée mais au moins on sait. merci bcp !
Laisser une réponse
Vous devez être connecté pour poster un message !
yo ! on a des coûts d'egress AWS qui ont explosé ce mois-ci et je pige pas d'où ça vient. on n'a pas lancé de nouvelles grosses applis. c'est surtout de la sortie de données de S3 et des EC2. comment je peux identifier ce qui génère ce trafic ? c'est l'enfer à débugger