SEC 5: 네트워크 리소스는 어떻게 보호합니까?

인터넷이든 프라이빗 네트워크이든 상관없이 어떤 형태든 네트워크 연결이 있는 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하기 위한 다중 방어 계층이 필요합니다.

리소스

Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield
AWS Transit Gateway reference architectures for many VPCs"
Amazon VPC Security
Getting started with AWS WAF
AWS Firewall Manager
Amazon Inspector
Lab: Automated Deployment of VPC

모범 사례:

개선 계획

네트워크 계층 생성

  • VPC에 서브넷 생성: 각 계층(여러 가용 영역을 포함하는 그룹)별로 서브넷을 생성하고 라우팅 테이블을 연결하여 라우팅을 제어합니다.
    VPCs and subnets
    Route tables
  • 모든 계층에서 트래픽 제어

  • VPC에서 네트워크 트래픽 제어: VPC 모범 사례를 구현하여 트래픽 제어
    Amazon VPC security
    Lab: Automated Deployment of VPC
    VPC endpoints
    Amazon VPC security group
    Network ACLs
  • 엣지에서 트래픽 제어: Amazon CloudFront와 같은 엣지 서비스를 구현하여 추가 보호 계층과 기타 기능을 제공합니다.
    Amazon CloudFront use cases
    AWS Global Accelerator
    AWS Web Application Firewall (AWS WAF)
    Amazon Route 53
    Amazon VPC Ingress Routing
  • 프라이빗 네트워크 트래픽 제어: 워크로드에 대한 프라이빗 트래픽을 보호하는 서비스를 구현합니다.
    Amazon VPC Peering
    Amazon VPC Endpoint Services (AWS PrivateLink)
    Amazon VPC Transit Gateway
    AWS Direct Connect
    AWS Site-to-Site VPN
    AWS Client VPN
    Amazon S3 Access Points
  • 네트워크 보호 자동화

  • 웹 기반 트래픽에 대한 보호 자동화: AWS는 일반적인 웹 기반 공격을 필터링하도록 설계된 AWS WAF 규칙 세트를 AWS CloudFormation을 사용하여 자동으로 배포하는 솔루션을 제공합니다. 사용자는 AWS WAF 웹 액세스 제어 목록(웹 ACL)에 포함된 규칙을 정의하도록 사전 구성된 다양한 보호 기능 중에서 선택할 수 있습니다.
    AWS WAF security automations
  • APN 파트너 솔루션 고려: APN 파트너는 고객 온프레미스 환경의 기존 제어 솔루션과 동등한 수준이거나, 동일하거나 통합된 업계 최고 수준의 수백 가지 제품을 제공합니다. 이러한 제품은 기존 AWS 서비스를 보완하여 클라우드 및 온프레미스 환경에 포괄적인 보안 아키텍처와 보다 원활한 환경을 배포할 수 있도록 해줍니다.
    Infrastructure security
  • 검사 및 보호 구현

  • Amazon GuardDuty 구성: Amazon GuardDuty는 악성 활동 및 무단 행위를 지속적으로 모니터링하여 AWS 계정 및 워크로드를 보호하는 위협 탐지 서비스입니다. GuardDuty를 활성화하고 자동 알림을 구성합니다.
    Amazon GuardDuty
    Lab: Automated Deployment of Detective Controls
  • VPC Flow Logs 구성: VPC Flow Logs는 VPC의 네트워크 인터페이스에서 전송되고 수신되는 IP 트래픽에 대한 정보를 포착하는 데 사용할 수 있는 기능입니다. 흐름 로그 데이터는 Amazon CloudWatch Logs 및 Amazon S3에 게시할 수 있습니다. 흐름 로그를 생성한 후에는 선택한 대상에서 해당 데이터를 검색하여 확인할 수 있습니다.
  • VPC 트래픽 미러링 고려: 트래픽 미러링은 콘텐츠 검사, 위협 모니터링 및 문제 해결을 위해 Amazon EC2 인스턴스의 탄력적 네트워크 인터페이스에서 네트워크 트래픽을 복사한 다음 대역 외 보안 및 모니터링 어플라이언스로 전송하는 데 사용할 수 있는 Amazon VPC 기능입니다.
    VPC traffic mirroring