3. 네트워킹 1

VPC 서브넷에 대한 계층적 보안 접근 방식 전략을 결정

ㅇ CIDR

  • VPC 당 5개 CIDR 블록이 있음
  • 중첩이 허용되지 않음

ㅇ 공인 및 사설 IP 주소

  • 공인 IP 주소: 인터넷을 통해 연결할 수 있는 IPv4 주소
    또한 공인 IP가 할당된 인스턴스에는 DNS 호스트 이름이 할당, 게이트웨이로 추상화되고 운영 체제에 연결 되지 않음
  • 사설 IP 주소: 인터넷으로 액세스 할 수 없음
    동일한 VPC에서 인스턴스 간의 통신을 위해 사용 가능, 프라이빗 네트워크 내부에서 사용
    -> 한 VPC의 모든 EC2 인스턴스에는 적어도 하나의 사설 IP 주소가 있음
    -> EC2 인스턴스에는 공인 IP 주소 할당될 수도 있음

ㅇ Amazon VPC

  • 클라우드의 네트워크 환경, 워크로드의 논리적 격리를 제공
  • 리소스에 대한 사용자 지정 액세슷 제어 및 보안 설정 허용
  • 단일 AWS 리전에 바인딩, 리전 내 모든 가용 영역에서 리소스 호스트 가능
  • 자체 IP 주소 범위 선택, 서브넷 생성, 라우팅 테이블 및 네트워크 게이트 웨이 구성

ㅇ 서브넷

  • VPC CIDR 블록의 하위 집합, 서브넷 CIDR 블록은 중첩될 수 없음
  • 각 서브넷은 하나의 가용 영역내에 상주

ㅇ 인터넷 게이트웨이

  • VPC의 인스턴스와 인터넷 간 통신을 허용
  • 기본적으로 수평으로 확장, 중복되며 고가용성, 대역폭 제한 없음
  • 인터넷으로 라우팅 가능한 트래픽에 대한 서브넷 라우팅 테이블에 대상을 제공
  • 공인 IPv4 주소가 할당된 인스턴스에 네트워크 주소 변환(NAT) 실행

ㅇ 라우팅 테이블

  • VPC에는 암시적 라우터가 있음
  • 라우팅 테이블을 사용해 네트워크 트래픽을 디렉션 함
  • VPC 내의 각 서브넷은 라우팅 테이블과 연결되어야 함
  • 서브넷은 한번에 하나의 라우팅 테이블과만 연결, 한개의 테이블에 여러개의 서브넷은 가능

ㅇ 퍼블릭 서브넷

  • 퍼블릭 서브넷은 공인 IP 주소를 통한 외부 통신을 허용
  • 자동 아웃바운드 라우팅은 없음
  • 인터넷 게이트웨이를 통해 인터넷에 엑세스

ㅇ 프라이빗 서브넷

  • 프라이빗 서브넷은 간접 인터넷 액세스를 허용
  • 사설 IP 주소는 바뀌지 않음
  • VPC 내의 트래픽은 로컬로 유지됨

ㅇ 탄력적 IP 주소

  • 탄력적 IP 주소는 인스턴스 또는 네트워크 인터페이스와의 연결을 허용
  • 재연결 즉시 새 트래픽을 디렉션할 수 있음 (인스턴스 -> 인스턴스)
  • 리전당 5개 제한

ㅇ 탄력적 네트워크 인터페이스

  • 동일한 가용 영역의 리소스간에 이동이 가능
  • 사설 IP 주소, 탄력적 IP 주소 및 Mac 주소를 유지 관리

ㅇ NAT (Network Address Translation)

  • 프라이빗 서브넷의 인스턴스가 인터넷 또는 다른 AWS 서비스로의 아웃바운드 트래픽을 전송할 수 있도록 함
  • NAT 프로세스에 대한 제어를 강화하려면 Amazon EC2를 사용하여 자체 NAT 인스턴스를 생성합니다.

ㅇ NAT 게이트 웨이

  • 퍼블릭 서브넷용 라우팅 테이블은 모든 인터넷 트래픽을 인터넷 게이트웨이로 보냄
  • 프라이빗 서브넷용 라우팅 테이블은 모든 IPv4 인터넷 트래픽을 NAT 게이트웨이로 보냄
  • NAT 게이트웨이는 탄력적 IP 주소를 프라이빗 서브넷으로부터의 트래픽에 대한 소스 IP로 사용
  • 프라이빗 인스턴스가 인터넷에서 인바운드 트래픽을 수신하는 것을 차단

ㅇ 송신 전용 인터넷 게이트 웨이

  • IPv6 인스턴스를 통해 통신하는 VPC 구성 요소
  • 인터넷에서 시작하는 통신을 차단

ㅇ 네트워크 ACL

  • 1개 이상의 서브넷 내부와 외부의 트래픽을 제어하기 위한 방화벽 역할, 선택적 보안 계층
  • 기본적으로 모든 인바운드, 아웃바운드 트래픽 거부
  • 상태 비저장으로 모든 트래픽에 대한 명시적인 규칙이 필요
    • 규칙: 번호가 가장 낮은 규칙부터 평가
    • 유형: 트래픽의 유형(e.g. SSH), 모든 트래픽 또는 사용자 지정 가능
    • 프로토콜: 표준 프로토콜 번호가 있는 모든 프로토콜 지정 가능
    • 포트 범위: 트래픽에 대한 수신 포트 또는 포트 범위 (e.g. Http - 80)
    • 소스: 인바운드 규칙에 한해 트래픽의 소스 (CIDR 범위)
    • 대상 위치: 아웃바운드 규칙에 한해, 트래픽의 대상 위치 (CIDR 범위)
    • 허용 또는 거부 : 지정된 트래픽을 허용할지 거부할지 여부

ㅇ 보안 그룹

  • AWS 리소스(인스턴스)에 대한 인바운드 및 아웃 바운드 트래픽을 제어하는 가상 방화벽
  • IP 프로토콜, 포트 또는 IP 주소를 기반으로 트래픽 허용 (허용 규칙만 지원)
  • 상태 기반 규칙 사용
  • 기본 보안그룹은 모든 트래픽 허용
  • 새 보안 그룹은 인바운드 규칙 없고 아웃바운드 트래픽을 허용
보안 그룹네트워크 ACL
탄력적 네트워크 인터페이스에 연결되고 하이퍼바이저에서 구현됨서브넷에 연결되고 네트워크에 구현됨
허용 규칙만 지원허용 및 거부 규칙 지원
상태 기반 방화벽상태 비저장 방화벽
모든 규칙은 트래픽 허용 여부 결정하기 전에 평가됨모든 규칙은 트래픽 허용 여부를 결정할때 순서대로 처리됨
인스턴스에 수동으로 지정해야 함인스턴스가 서브넷에 추가될때 자동으로 적용됨
통신을 허용하려면 구성이 필요기본적으로 통신허용

0개의 댓글