Cloud Lim

AWS의 네트워크 및 애플리케이션 보호 서비스

• 호스트 수준의 보호와 조직 전반의 가시성 및 제어: Amazon VPC Security Group, AWS Firewall Mananger
• 애플리케이션 수준 보호: AWS Shield, AWS WAF
• 네트워크 수준 보호: AWS Network Firewall, AWS Shield, Network ACL, Amazon Route 53 Resolver DNS Firewall

AWS Network Firewall

Amazon Virtual Private Cloud(VPC)에 대한 필수 네트워크 보호 기능을 쉽게 배포할 수 있는 관리형 서비스

• VPC로 오가는 트래픽 검사 및 필터링 솔루션
• 고가용성 및 Auto Scaling
  • 네트워크 트래픽에 따라 자동으로 확장 가능(트래픽 부하에 따라 방화벽 용량을 자동으로 확장하거나 축소)
  • 모든 트래픽을 일관되게 검사 및 모니터링할 수 있도록 내장된 중복 기능 제공
  • 99.99%의 가동 시간을 약속
• 중앙 관리
  • AWS Firewall Manager와 연동 가능
    • AWS Firewall Manager는 호스트 수준의 보호와 조직 전반의 가시성 및 제어 기능 제공
    • AWS Firewall Manager 규칙 기반으로 정책 구축한 후 해당 정책을 중앙에서 제어 가능(VPC 및 계정 전반에 적용하거나 계층적으로 제어 가능)

Network Access Control List (NACL)

• Subnet 앞에 위치하여 Subnet 의 트래픽을 제어
  • 일종의 Subnet 검문소
• NACL을 여러 Subnet 에 적용할 수 있으나, Subnet 은 1개의 NACL만 따를 수 있음
• Inbound, Outbound 규칙으로 나뉨
• NACL의 규칙목록은 Inbound, Outbound 각각 최대 20개 지정 가능
  • 규칙목록에서의 우선순위 설정 가능 → 최우선 규칙만 통과하면 됨
• Allow 규칙, Deny 규칙 생성 가능
• Stateless: Subnet 안으로 들어올 땐 Inbound 규칙, 나갈 땐 Outbound 규칙 따름

Security Group

• Subnet 안에 위치하여 해당 Subnet 안에 있는 Instance 등 가상컴퓨터 트래픽 제어
  • 정확히는 VPC 내부 Elastic Network Interface(ENI)를 갖는 모든 서비스(아래부턴 편의상 Instance라 표현함)
• Instance 단위로 설정 가능
  • 하나의 Instance에서 최대 5개 Security Group 동시 적용 가능 → 트래픽은 모든 Security Group 규칙 통과해야함
  • 각 Instance에 각기 다른 Security Group 할당 가능
• Inbound, Outbound 규칙으로 나뉨
  • 기본적으로 Outbound 규칙은 허용
• Allow 규칙만 생성 가능
• Stateful: 들어올 때 통과한 놈은 나갈 때는 프리패스(Outbound 규칙과 상관없이 나갈 수 있음)

AWS_SAA-C03_18.36V_Q15

Situation

• 최근에 AWS로 마이그레이션함
• 과거 사내 데이터 센터에 검사 서버가 있었는데 트래픽 흐름 검사 및 트래픽 필터링과 같은 작업을 수행했었음

Mission

• VPC로 들어오고 나가는 트래픽 보호 솔루션을 구현해야함
• AWS 클라우드에서 동일 기능 제공하는 솔루션은?

Action

•  AWS Network Firewall을 사용하여 VPC에 대한 트래픽 검사 및 트래픽 필터링에 필요한 규칙 생성

출처