Cloud Lim

AWS의 네트워크 및 애플리케이션 보호 서비스

• 호스트 수준의 보호와 조직 전반의 가시성 및 제어: Amazon VPC Security Group, AWS Firewall Mananger
• 애플리케이션 수준 보호: AWS Shield, AWS WAF
• 네트워크 수준 보호: AWS Network Firewall, AWS Shield, Network ACL, Amazon Route 53 Resolver DNS Firewall

AWS Network Firewall

Amazon Virtual Private Cloud(VPC)에 대한 필수 네트워크 보호 기능을 쉽게 배포할 수 있는 관리형 서비스

• VPC로 오가는 트래픽 검사 및 필터링 솔루션
• 고가용성 및 Auto Scaling
  • 네트워크 트래픽에 따라 자동으로 확장 가능(트래픽 부하에 따라 방화벽 용량을 자동으로 확장하거나 축소)
  • 모든 트래픽을 일관되게 검사 및 모니터링할 수 있도록 내장된 중복 기능 제공
  • 99.99%의 가동 시간을 약속
• 중앙 관리
  • AWS Firewall Manager와 연동 가능
    • AWS Firewall Manager는 호스트 수준의 보호와 조직 전반의 가시성 및 제어 기능 제공
    • AWS Firewall Manager 규칙 기반으로 정책 구축한 후 해당 정책을 중앙에서 제어 가능(VPC 및 계정 전반에 적용하거나 계층적으로 제어 가능)

Network Access Control List (NACL)

• Subnet 앞에 위치하여 Subnet 의 트래픽을 제어
  • 일종의 Subnet 검문소
• NACL을 여러 Subnet 에 적용할 수 있으나, Subnet 은 1개의 NACL만 따를 수 있음
• Inbound, Outbound 규칙으로 나뉨
• NACL의 규칙목록은 Inbound, Outbound 각각 최대 20개 지정 가능
  • 규칙목록에서의 우선순위 설정 가능 → 최우선 규칙만 통과하면 됨
• Allow 규칙, Deny 규칙 생성 가능
• Stateless: Subnet 안으로 들어올 땐 Inbound 규칙, 나갈 땐 Outbound 규칙 따름

Security Group

• Subnet 안에 위치하여 해당 Subnet 안에 있는 Instance 등 가상컴퓨터 트래픽 제어
  • 정확히는 VPC 내부 Elastic Network Interface(ENI)를 갖는 모든 서비스(아래부턴 편의상 Instance라 표현함)
• Instance 단위로 설정 가능
  • 하나의 Instance에서 최대 5개 Security Group 동시 적용 가능 → 트래픽은 모든 Security Group 규칙 통과해야함
  • 각 Instance에 각기 다른 Security Group 할당 가능
• Inbound, Outbound 규칙으로 나뉨
  • 기본적으로 Outbound 규칙은 허용
• Allow 규칙만 생성 가능
• Stateful: 들어올 때 통과한 놈은 나갈 때는 프리패스(Outbound 규칙과 상관없이 나갈 수 있음)

AWS_SAA-C03_18.36V_Q15

Situation

• 최근에 AWS로 마이그레이션함
• 과거 사내 데이터 센터에 검사 서버가 있었는데 트래픽 흐름 검사 및 트래픽 필터링과 같은 작업을 수행했었음

Mission

• VPC로 들어오고 나가는 트래픽 보호 솔루션을 구현해야함
• AWS 클라우드에서 동일 기능 제공하는 솔루션은?

Action

•  AWS Network Firewall을 사용하여 VPC에 대한 트래픽 검사 및 트래픽 필터링에 필요한 규칙 생성

출처

VPC Endpoint란?

VPC 내부에 있는 Resource가 VPC 외부에 있는 서비스에 접근하기 위해선 Internet Gateway나 NAT Gateway 등 인터넷 연결이 필요하다. VPC Endpoint는 외부 인터넷 없이 내부 네트워크만으로 VPC 내부 Resource가 외부 서비스에 접근할 수 있도록 하는 서비스이다.

근데 외부 인터넷으로 연결하면 안되나?

해도 된다. 하지만 보안 상 문제가 발생할 수 있다.

외부 인터넷을 통해 공개적으로 통신하기에 트래픽이 노출될 우려가 있고 이는 보안 상 좋지 않기 떄문이다.

또한 VPC 외부로 나가는 트래픽에는 비용이 발생하기도 한다.

VPC Endpoint 종류: Interface Endpoint, Gateway Endpoint

• Interface Endpoint
  • Elastic Network Interface를 통해 Private IP가 할당되는데 이 IP를 통해 Access하는 방식이다
  • PrivateLink에 대한 요금이 발생한다
  • Private Subnet 내부에 위치한다
  • SQS, SNS, Kenesis, Sagemaker 등 서비스 연결을 지원한다
  • VPC Peering 또는 AWS Transit Gateway를 통해 다른 Region에 Access를 허용할 수 있다
• Gateway Endpoint
  • Route Table에서 경로 대상을 지정해 Endpoint에 Access하는 방식이다
  • VPC 내부에 위치하고, Private Subnet 외부에 위치한다
  • 통신 프로세스: EC2 → Route Table → Router → Gateway Endpoint → S3
  • S3, DynamoDB 등을 지원한다
  • 다른 Region에서의 Access는 허용하지 않는다

AWS_SAA-C03_V18.35_Q4

Situation

• 애플리케이션이 VPC의 Amazon EC2 Instance에서 실행되고 있다
• 애플리케이션이 S3 버킷에 저장된 로그를 처리한다

Mission

• EC2 Instance는 인터넷 연결없이 S3 버킷에 액세스해야 한다
• S3에 대한 Private Network 연결을 제공하는 솔루션은?

Action

VPC Gateway Endpoint

출처