네트워크 보안을 위한 전략에 대해 알아보자.
VPN
외부 고객네트워크와 SCP네트워크를 IPsec으로 암호화된 가상 터널 VPN 터널을 통해 연결
VPN은 Virtual Server단위로 연결하기때문에 개별 Virtual Server에서 라우팅 테이블을 설정
VPC디자인
전체 서비스를 하나의 VPC, Subnet으로 운영하지않고 목적에 맞게 별도로 구분하는게 유리하다.
고객 데이터 센터와의 연결은 VPN, Transit Gateway나 Direct Connect를 통해 안전하게 통신한다.
Subnet 설계 및 보안
서비스들을 워크로드에 맞게 별도의 Subnet으로 구성한다.
Virtual Server 관리를 위해 서버접속은 Public Subnet에 Baston Host를 이용한다.
Private Subnet에 있는 Virtual Server들은 NAT Gateway를 통해 외부와 통신하도록 설정
각 Subnet에 있는 Virtual Server들은 별도에 Security Group으로 접속제어
Security Group 및 Firewall 적용방법
VPC로 들어오는 트래픽은 우선 Firewall에서 단일 IP, IP대역 단위로 접속제어를 설정한다.
Security Group는 서버단위로 적용되므로 Virtual Server마다 다르게 적용이 가능하다.
Security Group는 VIrtual Server에 대한 가상 방화벽역할을 한다.
Virtual Server는 최대 5개의 Security Group적용이 가능하다.
Security Group은 Subnet수준이 아닌 Virtual Server수준에서 작동한다.
Firewall 서비스
Firewall 서비스는 Internet Gateway, Transit Gateway, VPC Peering, DirectConnect, Load Balancer 상품별로 각각 생성하고 설정이 가능하다.
Internet Gateway Firewall : VPC와 인터넷 연결을 위한 방화벽 규칙 및 로깅적용
VPC Peering Firewall : VPC와 VPC간 연결을 위한 방화벽 규칙 및 로깅적용
Transit Gateway Firewall : 고객네트워크와 다수의 VPC연결을 위한 방화벽 규칙 및 로깅적용, 각 VPC에 연결하는 Transit Gateway별 별도규칙 적용가능
DirectConnect Firewall : 고객네트워크와 VPC 1:1연결을 위한 방화벽 규칙 및 로깅적용
Load Balancer Firewall : 외부 네트워크와 Load Balancer와 VPC내 서버간 연결을 위한 방화벽 규칙 및 로깅적용
Certificate Manager
SSL/TLS보안인증서를 등록해 SCP를 이용하는 웹사이트와 애플리케이션을 안전하게 보호
인증서 관리 서비스에 발급된 인증서 만료일을 만료되기전에 갱신할 수 있도록 알림을 지원한다.