중앙 집중식 송신 - AWS 규범적 지침
송신 트래픽 보안 모범 사례

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

중앙 집중식 송신

중앙 집중식 송신은 인터넷으로 향하는 모든 네트워크 트래픽에 대해 단일 공통 검사 지점을 사용하는 원칙입니다. 이 검사 지점에서는 지정된 도메인으로만 트래픽을 허용하거나 지정된 포트나 프로토콜을 통해서만 트래픽을 허용할 수 있습니다. 또한 송신을 중앙 집중화하면 인터넷에 연결하기 위해 각 VPC에 NAT 게이트웨이를 배포할 필요가 없으므로 비용을 절감할 수 있습니다. 이는 맬웨어 명령 및 제어(C&C) 인프라와 같이 외부에서 액세스 가능한 악성 리소스에 대한 노출을 제한하므로 보안 관점에서 유익합니다. 중앙 집중식 송신에 대한 자세한 내용과 아키텍처 옵션은 중앙 집중식 송신에서 인터넷으로(백서)를 참조하세요.AWS

관리형 상태 저장 Network Firewall이자 침입 탐지 및 방지 서비스인 AWS Network Firewall을 송신 트래픽의 중앙 검사 지점으로 사용할 수 있습니다. 송신 트래픽을 위한 전용 VPC에서 이 방화벽을 설정합니다. Network Firewall은 특정 도메인에 대한 인터넷 액세스를 제한하는 데 사용할 수 있는 상태 저장 규칙을 지원합니다. 자세한 내용은 Domain filtering(Network Firewall 설명서)을 참조하세요.

Amazon Route 53 Resolver DNS 방화벽을 사용하면 송신 트래픽을 특정 도메인 이름으로 제한하여 주로 데이터의 무단 유출을 방지할 수도 있습니다. DNS 방화벽 규칙에서는 지정된 도메인에 대한 액세스를 허용하거나 거부하는 도메인 목록(Route 53 설명서)을 적용할 수 있습니다. 악의적인 활동 또는 기타 잠재적 위협과 관련된 도메인 이름이 포함된 AWS 관리형 도메인 목록을 사용하거나 사용자 지정 도메인 목록을 생성할 수 있습니다. DNS 방화벽 규칙 그룹을 생성한 다음 VPC에 적용합니다. 아웃바운드 DNS 요청은 도메인 이름 확인을 위해 VPC의 Resolver를 통해 라우팅되며, DNS 방화벽은 VPC에 적용된 규칙 그룹을 기반으로 요청을 필터링합니다. Resolver로 가는 재귀적 DNS 요청은 전송 게이트웨이와 Network Firewall 경로를 통해 흐르지 않습니다. Route 53 Resolver와 DNS 방화벽은 VPC에서 나가는 별도의 송신 경로로 간주해야 합니다.

다음 이미지는 중앙 집중식 송신을 위한 샘플 아키텍처를 보여줍니다. 네트워크 통신이 시작되기 전에 DNS 요청이 Route 53 Resolver로 전송됩니다. 여기서 DNS 방화벽은 통신에 사용되는 IP 주소의 확인을 허용하거나 거부합니다. 인터넷으로 향하는 트래픽은 중앙 집중식 네트워킹 계정의 전송 게이트웨이로 라우팅됩니다. 전송 게이트웨이는 검사를 위해 트래픽을 Network Firewall에 전달합니다. 방화벽 정책이 송신 트래픽을 허용하는 경우 트래픽은 NAT 게이트웨이, 인터넷 게이트웨이 및 인터넷을 통해 라우팅됩니다. AWS Firewall Manager 를 사용하여 다중 계정 인프라에서 DNS 방화벽 규칙 그룹 및 네트워크 방화벽 정책을 중앙에서 관리할 수 있습니다.

네트워크 계정을 통해 다른 계정에서 인터넷으로 트래픽 라우팅

송신 트래픽 보안 모범 사례

  • 로깅 전용 모드(Route 53 설명서)에서 시작합니다. 합법적인 트래픽이 영향을 받지 않는지 확인한 후 차단 모드로 변경합니다.

  • AWS Firewall Manager 네트워크 액세스 제어 목록에 대한 정책을 사용하거나를 사용하여 인터넷으로 가는 DNS 트래픽을 차단합니다 AWS Network Firewall. 모든 DNS 쿼리는 Route 53 Resolver를 통해 라우팅되어야 합니다. 여기서 Amazon GuardDuty(활성화된 경우)를 사용하여 모니터링하고 Route 53 Resolver DNS 방화벽(활성화된 경우)을 사용하여 필터링할 수 있습니다. 자세한 내용은 Resolving DNS queries between VPCs and your network(Route 53 설명서)를 참조하세요.

  • DNS 방화벽과 Network Firewall에서 AWS 관리형 도메인 목록(Route 53 설명서)을 사용합니다.

  • .info, .top, .xyz 또는 일부 국가 코드 도메인과 같이 위험도가 높고 사용되지 않는 최상위 도메인을 차단하는 것을 고려합니다.

  • 포트 1389, 4444, 3333, 445, 135, 139 또는 53과 같이 위험도가 높고 사용되지 않는 포트를 차단하는 것을 고려합니다.

  • 시작점으로 AWS 관리형 규칙이 포함된 거부 목록을 사용할 수 있습니다. 그런 다음 시간이 지남에 따라 허용 목록 모델을 구현할 수 있습니다. 예를 들어 허용 목록에 정규화된 도메인 이름의 엄격한 목록만 포함하는 대신 *.example.com 같은 일부 와일드카드를 사용하는 것으로 시작합니다. 예상한 최상위 도메인만 허용하고 다른 도메인은 모두 차단할 수도 있습니다. 그런 다음 시간이 지남에 따라 범위를 좁힙니다.

  • Route 53 Profiles(Route 53 설명서)를 사용하여 여러 VPCs AWS 계정.

  • 이러한 모범 사례에 대한 예외를 처리하는 프로세스를 정의합니다.