'AWS 클라우드 핵심 서비스 소개: 네트워킹, 보안' 정리 (feat. 아마존 AWSomeDay 2022, 발표자: 이기백 테크니컬 트레이너)

💡 본 문서는 아마존 AWSomeDay 2022 컨퍼런스에서 이기백 테크니컬 트레이너(AWS)님께서 발표한 AWS 클라우드 핵심 서비스 소개: 네트워킹, 보안 세션에 대해 정리해놓은 글입니다.

1. AWS 네트워킹

1.1 Amazon Virtual Private Cloud(Amazon VPC)

• 논리적으로 구분되어 있는 계정 전용 가상 네트워크
• 가상 네트워킹 환경 제어 가능
  • IP 주소 범위 설정, 서브넷 생성, 라우팅 테이블 및 인터넷 게이트웨이 구성 등
• 이미 온프러미스가 구축되어 있는 경우?
  • 전용선 옵션인 Direct Connect 또는 VPN 연결을 통해서 하이브리드 아키텍쳐로 AWS와 함께 사용가능
• VPC끼리 통신?
  • VPC 피어링이나 Transit Gateway를 통해서 연결 가능.
• 추가로 보안 그룹 및 네트워크 ACL 포함한 다중 보안 계층을 사용해 서비스에 대한 보안을 강화가능.

1.2 서브넷을 이용하여 VPC 분리

• 서브넷: 리소스 그룹을 격리할 수 있는 VPC IP 주소 범위의 세그먼트 또는 파티션 → 인터넷 접근성을 정의
• 프라이빗 서브넷
  • 인터넷 게이트웨이에 대한 라우팅 테이블 항목 없음
  • 퍼블릭 인터넷에서 직접 액세스 불가
• 퍼블릭 서브넷: 웹 서비스와 같이 외부에서 접근해야하는 경우 사용.
  • 인터넷 게이트웨이라 불리는 서비스를 생성 후 VPC에 연결
  • 라우팅 테니블에서 해당 항목에 대한 트레픽 경로 지정
  • 외부에서 접근할 수 있는 퍼블릭 IP를 지정

1.3 VPC의 계층화된 네트워크 방어

• 네트워크 ACL
  • 1개 이상의 서브넷 내부와 외부의 트래픽을 제어하기 위한 방화벽 역할을 하는 VPC를 위한 선택적 보안 계층
  • SSH 와 같은 유형, 프로토콜, 포트범위, 소스 대상 선정하여 허용여부 선택
• 보안 그룹
  • 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽을 의미
  • 서브넷 수준이 아닌 인스턴스를 보호하기에 하나의 서브넷 안에 있는 여러 리소스를 서로 다른 보안 그룹 세트에 할당 가능.
  • 각 보안 그룹별로 인스턴스에 대한 인바운드 트래픽과 아웃바운드 트래픽을 별도로 제어하는 규칙을 정의하는 방식으로 생성
• 서드 파티 솔루션
  • 직접 설치하는 보안 솔루션

1.4 인프라 구조화

1. 인터넷 게이트웨이로 트래픽이 들어와 라우팅 경로 정보를 가지고 이동
   • 라우팅 정보가 올바르지 않으면 해당 트래픽은 EC2 인스턴스에 더이상 접근할 수 없음
2. 네트워크 ACL으로 정한 규칙에 허용된 트래픽인지 확인
   • SSH 와 같은 유형, 프로토콜, 포트범위, 소스 대상 선정하여 허용여부 선택
3. 보안 그룹으로 정한 규칙에 따라 정상 트래픽인지 확인

1.5 Elastic Load Balancing(ELB)

• 들어오는 로드 벨런싱 트레픽을 EC2인스턴스, 컨테이너, IP 주소, Lambda 함수, 가상 어플라이언스와 같은 여러 대상에 자동으로 분산시킴
• 단일 가용영역 또는 여러 가용영역에서 다양한 애플리케이션 부하를 처리가능
• 4가지 Load Balancer를 통해 애플리케니션의 내결함성에 필요한 고가용성, 상태확인, 보안을 갖추고 있음.
  • Application Load Balancer
  • Network Load Balancer
  • Gateway Load Balancer
  • Classic Load Balancer
• 고가용성: 트래픽을 여러 가용영역의 EC2 인스턴스, 컨테이너, IP 주소에 자동으로 분산
  • 가용성: 서버와 네트워크, 프로그램 등의 정보 시스템이 정상적으로 사용 가능한 정도
• 상태확인: 비정상 대상을 감지후 해당 대상으로 트래픽 전송을 중단 후 정상 대상으로 로드를 분산
• Amazon Virtual Private Cloud를 사용할 경우
  • ELB와 관련된 보안 그룹을 생성 및 관리하여 Application/Classic Load Balancer 을 위한 추가 네트워킹 및 보안 옵션을 제공 가능.
  • 추가로 퍼블릭 IP 주소없이 생성하면 프라이빗 Load Balance를 생성가능

1.6 Amazon Route 53

가용성과 확장성이 뛰어난 클라우드 DNS 서비스

• 웹 사이트/애플리케이션을 위한 도메인 이름 등록 가능.
• 인터넷을 통해 웹 서버 같은 리소스를 자동화된 요청을 보내고 접근 및 사용가능 여부 확인
• 추가로 지연시간 기반 라우팅, 지역 기반 라우팅, 가중치 기반 라우팅 등 다양한 라우팅 옵션을 제공

1.7 네트워크 전체 요약

1. DNS를 통해 애플리케이션에 접근 (Route 53이 IP 정보로 변경 후 전달)
2. 전달받은 IP 정보로 트래픽을 요청하면 AWS 클라우드의 VPC에 연결된 인터넷 게이트웨이 서비스가 처리
3. 트래픽은 라우팅 테이블의 트래픽 경로를 따라 ELB로 연결되며 이는 EC2 인스턴스에 적절히 부하 분산
   • Autoscaling 그룹을 통해 부하에 따라 탄력적으로 EC2 인스턴스를 확장하고 축소 가능.

2. AWS 보안

2.1 보안은 AWS의 최우선 과제

• AWS 글로벌 네트워크를 통해 전송되는 모든 데이터는 데이터 계층에서 자동 암호화
• 모든 VPC 교차 리전 피어링 트래픽, 고객 또는 서비스 간 TLS 연결 등 추가적인 암호화 계층 존재
• 금융, 소매, 의료, 정부 등의 보안 및 규정 준수 표준 인증 조건을 충족하기 위해 지속적으로 모니터링
• 글로벌 규정 준수 요구 사항에 대해 타사 검증을 정기적으로 진행하여 고객이 규정을 준수할 수 있도록 지원

2.2 공동 책임 모델

• AWS의 책임 영역(클라우드의 보안)
  • 호스트 운영 체제 및 가상화 계층부터 서비스가 운영되는 시선의 물리적 보안까지
• 고객의 책임 영역(클라우드에서의 보안)
  • 인스턴스 운영체제의 업데이트와 보안 패치를 포함한 관련 소프트웨어를 관리하고 AWS에서 제공한 보안 그룹을 직접 구성할 책임이 있음
  • 서비스를 구현할 때 신중하게 고려해야 함.

2.3 AWS Identity and Access Management(IAM)

AWS 리소스에 대한 액세스를 안전하게 제어 → AWS를 사용하는 데 있어 필수적인 기능이기에 추가비용 없이 제공하는 기능

• 사용자, 그룹, 역할에 세분화된 권한 할당
• AWS 계정에 대한 임시 액세스 공유

2.4 IAM 구성요소

• 사용자 인증 방식 (2가지)
  • 관리콘솔 사용하는 경우 : ID, Passward
  • 그 외의 경우 : Access Key ID, Secret Access Key
• 그룹 권한
  • 그룹에 권한을 할당하고 사용자를 그룹에 추가하는 방식
  • 리눅스의 group과 유사
• 역할
  • IAM 사용자 뿐만 아니라 AWS 리소스에 접근할 수 없는 사용자까지 엑세스 권한을 줄 수 있음.
  • → 임시로 권한 부여

2.5 Amazon S3 액세스 제어

2.6 AWA CloudTrail

• AWS의 모든 서비스는 API로 이루어 지기에 API를 이용한 사용자 활동 및 서비스 추적

2.7 AWS Trusted Advisor

• 비용최적화: 사용되지 않는 유휴 리소스를 제거하거나 예약 용량을 약정하여 비용 절약
• 성능: 서비스 한도를 점검하고 프로비저닝된 처리량을 활용하는 확인 및 초과사용되는 인스턴스 모니터링 및 성능 개선
• 보안: 보안의 결함을 없애고, AWS 보안 기능을 적용하고 권한을 점검해 서비스에 대한 보안을 향상
• 내결함성 기능: 자동 조정, 상태 확인, 복수 가용 영역, 백업 기능을 활용하여 AWS 애플리케니션의 가용성과 중복성을 높이는데 활용
• 서비스 한도: 서비스 한도 내 80%이상 사용하고 있는 서비스가 있는지 모니터링. 이는 스냅샷을 기준으로 하기에 현재 사용량과는 상이함.

 

참고

• [컨퍼런스] 아마존 AWSomeDay 2022 후기 (22.09.29.): https://csj000714.tistory.com/599
• 아마존 AWSomeDay 2022: https://aws.amazon.com/ko/events/awsome-day/awsome-day-online/