피드로 돌아가기
Building LogSentry: A Serverless AWS Pipeline That Detects Secrets Leaked into Application Logs in Real-Time
Dev.toDev.to
Security

Zero-Config 기반 실시간 Secret 탐지 Serverless 파이프라인 구축

Building LogSentry: A Serverless AWS Pipeline That Detects Secrets Leaked into Application Logs in Real-Time

Durrell Gemuh2026년 6월 8일6intermediate

Context

마이크로서비스 환경에서 로그 내 자격 증명 유출 시 수동 검토의 불가능함과 사후 탐지의 치명적 위험성 존재. 기존 방식의 수동 Subscription Filter 설정으로 인한 모니터링 누락 및 관리 공수 증가 문제 해결 필요.

Technical Solution

  • EventBridge 및 5분 주기 Scheduled Scan을 통한 신규 Log Group의 자동 Subscription Filter 적용 구조 설계
  • Kinesis Data Stream을 활용한 로그 이벤트 버퍼링으로 Backpressure 제어 및 확장성 확보
  • 12종의 정규표현식 패턴 매칭과 Shannon Entropy 분석(3.5 bits/char 기준)을 결합한 False Positive 최소화 로직 구현
  • DynamoDB의 Conditional Write를 통한 중복 Finding 제거 및 TTL 설정을 통한 90일 주기 자동 데이터 생명주기 관리
  • Lambda 호출당 알람 개수 제한 및 SNS 연동을 통한 Notification Storm 방지용 Rate-limiting 적용
  • Flask 기반 Live Scanner 및 Resolve Workflow를 제공하는 대시보드로 보안 운영 플랫폼화

- 정규표현식 기반 탐지 시 Shannon Entropy 필터를 추가하여 무작위성 기반의 실제 Secret 판별 검토 - 신규 리소스 생성 시 EventBridge를 활용한 자동 설정(Auto-provisioning) 메커니즘 도입 고려 - 알람 폭주 방지를 위해 데이터베이스 수준의 Deduplication과 애플리케이션 수준의 Rate Limit 동시 적용 - Serverless 아키텍처 도입 시 Zip 배포 방식을 통한 CI/CD 파이프라인 속도 최적화

원문 읽기