jyamethyst21 님의 블로그
클라우드 보안 본문
VPC
1. 정의: AWS에서 네트워크를 구축할 때 사용하는 기능
2. 특징: VPC끼리는 독립적이므로 서로 영향을 미치지 않음
3. 방법: 서비스 - VPC- 가상 프라이빗 클라우드 - VPC - VPC 생성 - VPC 설정 - 이름 및 기타 서식 설정 - VPC 생성
서브넷과 가용 영역
1. 정의
- 서브넷: VPC의 IP 주소 범위를 나누는 단위 (일반적으로 사용됨, VPC 안에서 하나 이상 필요)
- 가용영역: 각 리전 안의 여러 독립된 위치
2. 서브넷 존재 이유
- 역할 분리: 외부에 공개하는 리소스 여부 구별
- 기기 분리: AWS 안에서의 물리적인 이중화를 수행
IPv4 CIDR
- 서브넷을 한번 만들면 CIDR 블록을 변경할 수 없음
- CIDR 설계 시 생성할 서브넷의 개수, 서브넷 안에 생성할 리소스 수를 고려해야함
인터넷 게이트웨이
1. 정의: VPC에서 생성된 네트워크와 인터넷 사이의 통신을 가능하게 하는 역할 (존재하지 않으면 VPC 안 리소스끼리 통신 불가)
2. 방법: AWS - VPC 대시보드 - 인터넷 게이트웨이 - 인터넷 게이트웨이 생성 - 이름 태그만 작성 (VPC 생성 이후 서브넷, 인터넷 게이트웨이까지 설정되면 VPC와 인터넷 게이트웨이 둘이 연결)
NAT 게이트웨이
1. 정의: 프라이빗 서브넷에 생성된 리소스를 인터넷으로 내보내게 해주면서 인터넷에서 접근할 수는 없게 해주는 역할
2. 방법: VPC - NAT 게이트웨이 - NAT 게이트웨이 생성 - NAT 게이트웨이 설정 - 이름 등 입력 - 탄력적 IP 할당(기존에 만든 게 있으면 그냥 선택) - NAT 게이트웨이 생성
라우팅 테이블
1. 정의: 인터넷 게이트웨이, NAT 게이트웨이는 리소스가 인터넷과 통신할 수 있도록 출입구를 만든 역할을 함, 그러나 경로를 정한 것이 아니기 때문에 라우팅 테이블 생성이 필요! (생성 안하면 서브넷 안 리소스가 해당 서브넷 밖의 리소스에는 접근 불가)
2. 방법: VPC - 가상 프라이빗 클라우드 - 라우팅 테이블 - 라우팅 테이블 생성 - 기본 정보 입력(이름 ,VPC 등) - 라우팅 테이블 생성 - 다시 라우팅 테이블로 돌아와서 잘 생성됐으면 체크한 뒤 하단에 라우팅 탭 클릭 - 라우팅 편집 - 송수신자 지정 - 변경 사항 저장 - 다시 라우팅 테이블 돌아와서 서브넷 연결 탭 - 서브넷 연결 편집 -편집 중인 라우팅 테이블이 속하는 서브넷 지정 - 연결 저장
보안 그룹
1. 정의: VPC 안의 리소스를 보호하기 위해 외부로부터의 접근을 제한하는 기능
2. 참고
- AWS에는 보안과 관련된 기능이 보안그룹과 네트워크 액세스 컨트롤 리스트 이렇게 두 개가 있다. 보안그룹과 네트워크 액세스 컨트롤 리스트는 모두 트래픽을 제어하는 장치이지만 적용 위치와 동작 방식이 다르다.
보안그룹은 인스턴스 단위로 적용되어 특정 서버에 들어오고 나가는 트래픽을 제어한다. 반면 네트워크 액세스 컨트롤 리스트는 서브넷 단위로 적용되어 그 서브넷에 속한 모든 인스턴스에 공통으로 적용된다. 따라서 트래픽은 먼저 네트워크 액세스 컨트롤 리스트를 거치고, 그 다음 보안그룹을 통과해야 인스턴스에 도달한다.
또한, 보안그룹은 상태를 저장하는 방식이라 들어오는 요청을 허용하면 그에 대한 응답은 자동으로 허용된다. 반면 네트워크 액세스 컨트롤 리스트는 상태를 저장하지 않기 때문에 들어오는 트래픽과 나가는 트래픽을 각각 따로 허용해 주어야 한다. 그리고 보안그룹은 허용 규칙만 설정할 수 있지만, 네트워크 액세스 컨트롤 리스트는 허용과 차단을 모두 설정할 수 있다.
3. 접근 제어 방법
- 포트 번호
- IP 주소
4. 방법: 보안 - 보안 그룹 - 보안 그룹 생성 - 기본 세부 정보에 기본 정보 입력(보안 그룹 이름, 설명, VPC) - 인바운드 규칙에서 원하는 규칙 생성 - 아웃바운드 규칙도 원하면 생성 - 보안 그룹 생성