SEC 5: 네트워크 리소스는 어떻게 보호합니까?

인터넷이든 프라이빗 네트워크이든 상관없이 어떤 형태든 네트워크 연결이 있는 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하기 위한 다중 방어 계층이 필요합니다.

리소스

Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield
AWS Transit Gateway reference architectures for many VPCs"
Amazon VPC Security
Getting started with AWS WAF
AWS Firewall Manager
Amazon Inspector
Lab: Automated Deployment of VPC

모범 사례:

• 네트워크 계층 생성: 동일한 연결 요구 사항을 공유하는 구성 요소를 계층으로 그룹화합니다. 예를 들어 인터넷에 액세스할 필요가 없는 VPC의 RDS 데이터베이스 클러스터는 인터넷에 연결되는 경로가 없는 서브넷에 배치해야 합니다. VPC 없이 운영되는 서버리스 워크로드의 경우, 마이크로서비스를 사용한 유사한 계층화 및 세분화를 통해 동일한 목표를 실현할 수 있습니다.

• 모든 계층에서 트래픽 제어: 인바운드 및 아웃바운드 트래픽 모두에 대해 심층 방어 방식을 사용하여 제어 기능을 적용합니다. 예를 들어 Amazon Virtual Private Cloud(VPC)의 경우 이러한 기능에는 보안 그룹, 네트워크 ACL, 서브넷 등이 포함됩니다. AWS Lambda는 VPC 기반 제어 기능을 제공하는 프라이빗 VPC에서 실행하는 것이 좋습니다.

• 네트워크 보호 자동화: 위협 정보 및 이상 상태 감지 결과에 따라 자체 방어 네트워크를 제공하는 보호 메커니즘을 자동화합니다. 예를 들어 최신 위협에 사전 예방적으로 대응하고 위협의 영향을 줄일 수 있는 침입 탐지 및 방지 도구가 있습니다.

• 검사 및 보호 구현: 각 계층에서 트래픽을 검사하고 필터링합니다. 예를 들어 웹 애플리케이션 방화벽을 사용하여 애플리케이션 네트워크 계층에서 실수로 액세스하는 것을 방지할 수 있습니다. Lambda 함수의 경우 타사 도구를 활용하여 런타임 환경에 애플리케이션 계층 방화벽을 추가할 수 있습니다.

개선 계획

네트워크 계층 생성

VPC에 서브넷 생성: 각 계층(여러 가용 영역을 포함하는 그룹)별로 서브넷을 생성하고 라우팅 테이블을 연결하여 라우팅을 제어합니다.
VPCs and subnets
Route tables

모든 계층에서 트래픽 제어

VPC에서 네트워크 트래픽 제어: VPC 모범 사례를 구현하여 트래픽 제어
Amazon VPC security
Lab: Automated Deployment of VPC
VPC endpoints
Amazon VPC security group
Network ACLs

엣지에서 트래픽 제어: Amazon CloudFront와 같은 엣지 서비스를 구현하여 추가 보호 계층과 기타 기능을 제공합니다.
Amazon CloudFront use cases
AWS Global Accelerator
AWS Web Application Firewall (AWS WAF)
Amazon Route 53
Amazon VPC Ingress Routing

프라이빗 네트워크 트래픽 제어: 워크로드에 대한 프라이빗 트래픽을 보호하는 서비스를 구현합니다.
Amazon VPC Peering
Amazon VPC Endpoint Services (AWS PrivateLink)
Amazon VPC Transit Gateway
AWS Direct Connect
AWS Site-to-Site VPN
AWS Client VPN
Amazon S3 Access Points

네트워크 보호 자동화

웹 기반 트래픽에 대한 보호 자동화: AWS는 일반적인 웹 기반 공격을 필터링하도록 설계된 AWS WAF 규칙 세트를 AWS CloudFormation을 사용하여 자동으로 배포하는 솔루션을 제공합니다. 사용자는 AWS WAF 웹 액세스 제어 목록(웹 ACL)에 포함된 규칙을 정의하도록 사전 구성된 다양한 보호 기능 중에서 선택할 수 있습니다.
AWS WAF security automations

APN 파트너 솔루션 고려: APN 파트너는 고객 온프레미스 환경의 기존 제어 솔루션과 동등한 수준이거나, 동일하거나 통합된 업계 최고 수준의 수백 가지 제품을 제공합니다. 이러한 제품은 기존 AWS 서비스를 보완하여 클라우드 및 온프레미스 환경에 포괄적인 보안 아키텍처와 보다 원활한 환경을 배포할 수 있도록 해줍니다.
Infrastructure security

검사 및 보호 구현

Amazon GuardDuty 구성: Amazon GuardDuty는 악성 활동 및 무단 행위를 지속적으로 모니터링하여 AWS 계정 및 워크로드를 보호하는 위협 탐지 서비스입니다. GuardDuty를 활성화하고 자동 알림을 구성합니다.
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls

VPC Flow Logs 구성: VPC Flow Logs는 VPC의 네트워크 인터페이스에서 전송되고 수신되는 IP 트래픽에 대한 정보를 포착하는 데 사용할 수 있는 기능입니다. 흐름 로그 데이터는 Amazon CloudWatch Logs 및 Amazon S3에 게시할 수 있습니다. 흐름 로그를 생성한 후에는 선택한 대상에서 해당 데이터를 검색하여 확인할 수 있습니다.

VPC 트래픽 미러링 고려: 트래픽 미러링은 콘텐츠 검사, 위협 모니터링 및 문제 해결을 위해 Amazon EC2 인스턴스의 탄력적 네트워크 인터페이스에서 네트워크 트래픽을 복사한 다음 대역 외 보안 및 모니터링 어플라이언스로 전송하는 데 사용할 수 있는 Amazon VPC 기능입니다.
VPC traffic mirroring