Elastic Load Balancing의 인프라 보안 - Elastic Load Balancing
네트워크 격리네트워크 트래픽 제어

Elastic Load Balancing의 인프라 보안

관리형 서비스인 Elastic Load Balancing은 AWS 글로벌 네트워크 보안으로 보호됩니다. AWS 보안 서비스와 AWS의 인프라 보호 방법에 대한 자세한 내용은 AWS 클라우드 보안을 참조하세요. 인프라 보안에 대한 모범 사례를 사용하여 AWS 환경을 설계하려면 보안 원칙 AWS Well‐Architected Framework인프라 보호를 참조하세요.

AWS에서 게시한 API 호출을 사용하여 네트워크를 통해 Elastic Load Balancing에 액세스합니다. 고객은 다음을 지원해야 합니다.

  • Transport Layer Security(TLS) TLS 1.2는 필수이며 TLS 1.3을 권장합니다.

  • DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)와 같은 완전 전송 보안(PFS)이 포함된 암호 제품군 Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.

또한 요청은 액세스 키 ID 및 IAM 주체와 관련된 비밀 액세스 키를 사용하여 서명해야 합니다. 또는 AWS Security Token Service(AWS STS)을 사용하여 임시 보안 자격 증명을 생성하여 요청에 서명할 수 있습니다.

네트워크 격리

Virtual Private Cloud(VPC)는 AWS 클라우드에서 논리적으로 격리된 고유한 영역의 가상 네트워크입니다. 서브넷은 VPC의 IP 주소 범위입니다. 로드 밸런서를 생성할 때 로드 밸런서 노드에 대해 하나 이상의 서브넷을 지정할 수 있습니다. VPC의 서브넷에 EC2 인스턴스를 배포하고 로드 밸런서에 등록할 수 있습니다. VPC 및 서브넷에 대한 자세한 내용은 Amazon VPC 사용 설명서를 참조하세요.

VPC에서 로드 밸런서를 생성하면 인터넷에 연결되거나 내부 로드 밸런서가 될 수 있습니다. 내부 로드 밸런서는 로드 밸런서를 위한 VPC에 액세스하여 클라이언트의 요청만 라우팅할 수 있습니다.

로드 밸런서는 프라이빗 IP 주소를 사용하여 등록된 대상으로 요청을 보냅니다. 따라서 대상이 퍼블릭 IP 주소 없이도 로드 밸런서에서 요청을 수신할 수 있습니다.

프라이빗 IP 주소를 사용하여 VPC에서 Elastic Load Balancing API를 호출하려면 AWS PrivateLink을(를) 사용합니다. 자세한 내용은 인터페이스 엔드포인트를 사용하여 Elastic Load Balancing에 액세스 (AWS PrivateLink) 단원을 참조하십시오.

네트워크 트래픽 제어

로드 밸런서를 사용할 때 네트워크 트래픽 보안을 위해 다음 옵션을 고려하십시오.

  • 보안 리스너를 사용하여 클라이언트와 로드 밸런서 간의 암호화된 통신을 지원합니다. Application Load Balancer는 HTTPS 리스너를 지원합니다. Network Load Balancer는 TLS 리스너를 지원합니다. Classic Load Balancer는 HTTPS 및 TLS 리스너를 모두 지원합니다. 로드 밸런서에 대해 미리 정의된 보안 정책 중에서 선택하여 애플리케이션에서 지원하는 암호 모음 및 프로토콜 버전을 지정할 수 있습니다. AWS Certificate Manager(ACM) 또는 AWS Identity and Access Management(IAM)를 사용하여 로드 밸런서에 설치된 서버 인증서를 관리할 수 있습니다. SNI(서버 이름 표시) 프로토콜을 사용하여 단일 보안 리스너를 통해 여러 보안 웹 사이트를 제공할 수 있습니다. 둘 이상의 서버 인증서를 보안 리스너와 연결하면 로드 밸런서에 대해 SNI가 자동으로 활성화됩니다.

  • 특정 클라이언트의 트래픽만 허용하도록 Application Load Balancer 및 Classic Load Balancer에 대한 보안 그룹을 구성합니다. 이러한 보안 그룹은 리스너 포트에서 클라이언트로부터의 인바운드 트래픽과 클라이언트로의 아웃바운드 트래픽을 허용해야 합니다.

  • 로드 밸런서로부터의 트래픽만 허용하도록 Amazon EC2 인스턴스에 대한 보안 그룹을 구성합니다. 이러한 보안 그룹은 리스너 포트와 상태 확인 포트에서 로드 밸런서로부터의 인바운드 트래픽을 허용해야 합니다.

  • 자격 증명 공급자를 통해 또는 회사 자격 증명을 사용하여 사용자를 안전하게 인증하도록 Application Load Balancer를 구성합니다. 자세한 내용은 Application Load Balancer를 사용하여 사용자 인증을 참조하세요.

  • Application Load Balancer와 함께 AWS WAF를 사용하여 웹 ACL(웹 액세스 제어 목록)의 규칙에 따라 요청을 허용하거나 차단합니다.