3. 네트워킹 1
VPC 서브넷에 대한 계층적 보안 접근 방식 전략을 결정
ㅇ CIDR
- VPC 당 5개 CIDR 블록이 있음
- 중첩이 허용되지 않음
ㅇ 공인 및 사설 IP 주소
- 공인 IP 주소: 인터넷을 통해 연결할 수 있는 IPv4 주소
또한 공인 IP가 할당된 인스턴스에는 DNS 호스트 이름이 할당, 게이트웨이로 추상화되고 운영 체제에 연결 되지 않음 - 사설 IP 주소: 인터넷으로 액세스 할 수 없음
동일한 VPC에서 인스턴스 간의 통신을 위해 사용 가능, 프라이빗 네트워크 내부에서 사용
-> 한 VPC의 모든 EC2 인스턴스에는 적어도 하나의 사설 IP 주소가 있음
-> EC2 인스턴스에는 공인 IP 주소 할당될 수도 있음
ㅇ Amazon VPC
- 클라우드의 네트워크 환경, 워크로드의 논리적 격리를 제공
- 리소스에 대한 사용자 지정 액세슷 제어 및 보안 설정 허용
- 단일 AWS 리전에 바인딩, 리전 내 모든 가용 영역에서 리소스 호스트 가능
- 자체 IP 주소 범위 선택, 서브넷 생성, 라우팅 테이블 및 네트워크 게이트 웨이 구성
ㅇ 서브넷
- VPC CIDR 블록의 하위 집합, 서브넷 CIDR 블록은 중첩될 수 없음
- 각 서브넷은 하나의 가용 영역내에 상주
ㅇ 인터넷 게이트웨이
- VPC의 인스턴스와 인터넷 간 통신을 허용
- 기본적으로 수평으로 확장, 중복되며 고가용성, 대역폭 제한 없음
- 인터넷으로 라우팅 가능한 트래픽에 대한 서브넷 라우팅 테이블에 대상을 제공
- 공인 IPv4 주소가 할당된 인스턴스에 네트워크 주소 변환(NAT) 실행
ㅇ 라우팅 테이블
- VPC에는 암시적 라우터가 있음
- 라우팅 테이블을 사용해 네트워크 트래픽을 디렉션 함
- VPC 내의 각 서브넷은 라우팅 테이블과 연결되어야 함
- 서브넷은 한번에 하나의 라우팅 테이블과만 연결, 한개의 테이블에 여러개의 서브넷은 가능
ㅇ 퍼블릭 서브넷
- 퍼블릭 서브넷은 공인 IP 주소를 통한 외부 통신을 허용
- 자동 아웃바운드 라우팅은 없음
- 인터넷 게이트웨이를 통해 인터넷에 엑세스
ㅇ 프라이빗 서브넷
- 프라이빗 서브넷은 간접 인터넷 액세스를 허용
- 사설 IP 주소는 바뀌지 않음
- VPC 내의 트래픽은 로컬로 유지됨
ㅇ 탄력적 IP 주소
- 탄력적 IP 주소는 인스턴스 또는 네트워크 인터페이스와의 연결을 허용
- 재연결 즉시 새 트래픽을 디렉션할 수 있음 (인스턴스 -> 인스턴스)
- 리전당 5개 제한
ㅇ 탄력적 네트워크 인터페이스
- 동일한 가용 영역의 리소스간에 이동이 가능
- 사설 IP 주소, 탄력적 IP 주소 및 Mac 주소를 유지 관리
ㅇ NAT (Network Address Translation)
- 프라이빗 서브넷의 인스턴스가 인터넷 또는 다른 AWS 서비스로의 아웃바운드 트래픽을 전송할 수 있도록 함
- NAT 프로세스에 대한 제어를 강화하려면 Amazon EC2를 사용하여 자체 NAT 인스턴스를 생성합니다.
ㅇ NAT 게이트 웨이
- 퍼블릭 서브넷용 라우팅 테이블은 모든 인터넷 트래픽을 인터넷 게이트웨이로 보냄
- 프라이빗 서브넷용 라우팅 테이블은 모든 IPv4 인터넷 트래픽을 NAT 게이트웨이로 보냄
- NAT 게이트웨이는 탄력적 IP 주소를 프라이빗 서브넷으로부터의 트래픽에 대한 소스 IP로 사용
- 프라이빗 인스턴스가 인터넷에서 인바운드 트래픽을 수신하는 것을 차단
ㅇ 송신 전용 인터넷 게이트 웨이
- IPv6 인스턴스를 통해 통신하는 VPC 구성 요소
- 인터넷에서 시작하는 통신을 차단
ㅇ 네트워크 ACL
- 1개 이상의 서브넷 내부와 외부의 트래픽을 제어하기 위한 방화벽 역할, 선택적 보안 계층
- 기본적으로 모든 인바운드, 아웃바운드 트래픽 거부
- 상태 비저장으로 모든 트래픽에 대한 명시적인 규칙이 필요
- 규칙: 번호가 가장 낮은 규칙부터 평가
- 유형: 트래픽의 유형(e.g. SSH), 모든 트래픽 또는 사용자 지정 가능
- 프로토콜: 표준 프로토콜 번호가 있는 모든 프로토콜 지정 가능
- 포트 범위: 트래픽에 대한 수신 포트 또는 포트 범위 (e.g. Http - 80)
- 소스: 인바운드 규칙에 한해 트래픽의 소스 (CIDR 범위)
- 대상 위치: 아웃바운드 규칙에 한해, 트래픽의 대상 위치 (CIDR 범위)
- 허용 또는 거부 : 지정된 트래픽을 허용할지 거부할지 여부
ㅇ 보안 그룹
- AWS 리소스(인스턴스)에 대한 인바운드 및 아웃 바운드 트래픽을 제어하는 가상 방화벽
- IP 프로토콜, 포트 또는 IP 주소를 기반으로 트래픽 허용 (허용 규칙만 지원)
- 상태 기반 규칙 사용
- 기본 보안그룹은 모든 트래픽 허용
- 새 보안 그룹은 인바운드 규칙 없고 아웃바운드 트래픽을 허용
| 보안 그룹 | 네트워크 ACL |
|---|---|
| 탄력적 네트워크 인터페이스에 연결되고 하이퍼바이저에서 구현됨 | 서브넷에 연결되고 네트워크에 구현됨 |
| 허용 규칙만 지원 | 허용 및 거부 규칙 지원 |
| 상태 기반 방화벽 | 상태 비저장 방화벽 |
| 모든 규칙은 트래픽 허용 여부 결정하기 전에 평가됨 | 모든 규칙은 트래픽 허용 여부를 결정할때 순서대로 처리됨 |
| 인스턴스에 수동으로 지정해야 함 | 인스턴스가 서브넷에 추가될때 자동으로 적용됨 |
| 통신을 허용하려면 구성이 필요 | 기본적으로 통신허용 |
