brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Jul 21. 2021

12탄-더욱 진화하는 AWS 네트워크 보안


<1> Gateway Load Balancer

<2> Network Firewall

<3> 개인 정리

<4> 같이 볼만한 자료




<1> Gateway Load Balancer


1

개인정보, 금융사  침입차단 솔루션 필요

온프레미스에서는 IPS 형태로 구성

클라우드에서도 보안장비 구축 필요하다.

이때 보안장비와 연걀하기 위해 게이트웨이 역할을하는 로드밸런서가 필요하다.

이 장비가 게이트웨이 로드밸런서이다. GWLB


2

보안 요구사항?

네트워크 모니터링과 트래픽 제어

침입 탐지/ 차단 시스템 구성

도메인 기반 인터넷 접속 제어


3

3rd Party 보안 솔루션 구성 ?

 -  active / Passive 방식


외부----- Public ------ active / Passive ----EC2

Failover 필요, 확장 어려움, SPOF


4

3rd Party 보안 솔루션 구성 ?

- ELB 사용한 active / active 방식


외부- public -- ELB --------active / active 방식 - EC2


EC2에서 Client IP는 보안 장비 IP로 보임.

EC2에서 실제 외부 접속 정보를 알 수 없음.  x-forward-for로 임시 해결은 가능



5

3rd Party 보안 솔루션 구성 ?

 -   Gateway Load Balancer구성


Gatewy Load Balancer Endpoint 사용 필요

Private Link 연결

이후, 보안 솔루션을 연결 (GENVE터널) - EC2가 GENVE터널 지원하는지 확인 필요. 지원하는 EC2 타입이 있다.

보안 솔루션도 GENVE터널 지원하는지 반드시 확인 필요


사용자의 IP 를  최종 목적지까지 IP가 전달 된다.

최종 EC2 에서 사용자 IP가 확인 가능하다.


인그레스 라우팅 테이블등 라우팅 테이블  수정이 필요하다.

AWS사용방식



<2> Network Firewall


1

IPS로 사용가능한  Network Firewall

Firewall Manager와 통합 가능- 멀티계정 사용시 사용

수리카다 기반의 IDS/IPS 규칙

HTTP/HTTPS 에 대해 도메인 기반 차단 허용 가능


2

Cloudwatch logs

s3 버킷에 로그 저장 가능


3

NACL = stateless

Security Group = Stateful


Stateless 엔진 + StatFul 엔진으로 구성 된다.


4

네트워크 로드밸런서를 생성하면 자동으로  GWLB가 생긴다.

인터넷 GW , 인그레스 라우팅 테이블, Public  라우팅 테이블  수정이 필요하다.

Network Firewall만들면 게이트웨이 엔드폰인트나 엔트포인드는 자동으로 생성된다.

사용하는 모든 가용영역으로 지정해 Network Firewall 사용하자.


5

방식들?


Stateful 규칙?


5 튜플 규칙

IP에 대해 리스트를 지원하지 않고, 포트에 대해 range를 지원한지 않는다.

 따라서 적용 대상 IP가 여러개이면 규칙이 여러개 만들어야 한다.


도메인 리스트 규칙

Allow   지정된 타켓 도메인을 허용하되, 나머지 모두 차단

deny  지정된 타켓 도메인만 차단 한다.


수리카타 문법 규칙


6

Rule Group 용량 제한?

Statless Rule Group = 최대 10,000

Stateful Rule Group= 최대 30,000

하드 리밋으로 증가가 불가능하다.


7

규칙?

Stateless 규칙 부터 적용

Forward 인 경우   Statefull로 넘어간다.


8

도메인등 차단이 필요하지 않으면  Stateless 사용


9

stateless 는 로깅이 되지 않는다. 참고.


10

수리카타 뜻? = 미어켓 = 몽구스과



11

 Network Firewall 생성  Case1

개별 구축법

각 AZ별로 Firewall 생성 필요


12

 Network Firewall 생성  Case2

중앙 집중식


트랜짓게이트웨이 사용 필요

Network Firewall 은 VPC Peering은 지원하지 않아서.

어플라이언스 모드 옵션이 활성화 해야 한다.




<3> 개인 정리


Network Firewall 을 구성해 테스트 해보자~

이건은 특히 테스트를 해야 이해가 되는 구성이다.




<4> 같이 볼만한 자료


https://brunch.co.kr/@topasvga/1795



감사합니다.



        

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari