중앙 집중식 송신 - AWS 규범적 지침

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

중앙 집중식 송신

중앙 집중식 송신은 인터넷으로 향하는 모든 네트워크 트래픽에 대해 단일 공통 검사 지점을 사용하는 원칙입니다. 이 검사 지점에서는 지정된 도메인으로만 트래픽을 허용하거나 지정된 포트나 프로토콜을 통해서만 트래픽을 허용할 수 있습니다. 또한 송신을 중앙 집중화하면 인터넷에 연결하기 위해 각 VPC에 NAT 게이트웨이를 배포할 필요가 없으므로 비용을 절감할 수 있습니다. 이는 맬웨어 명령 및 제어(C&C) 인프라와 같이 외부에서 액세스 가능한 악성 리소스에 대한 노출을 제한하므로 보안 관점에서 유익합니다. 중앙 집중식 송신에 대한 자세한 내용과 아키텍처 옵션은 인터넷으로의 중앙 집중식 송신(AWS 백서)을 참조하세요.

관리형 상태 저장 Network Firewall이자 침입 탐지 및 방지 서비스인 AWS Network Firewall을 송신 트래픽의 중앙 검사 지점으로 사용할 수 있습니다. 송신 트래픽을 위한 전용 VPC에서 이 방화벽을 설정합니다. Network Firewall은 특정 도메인에 대한 인터넷 액세스를 제한하는 데 사용할 수 있는 상태 저장 규칙을 지원합니다. 자세한 내용은 Domain filtering(Network Firewall 설명서)을 참조하세요.

Amazon Route 53 Resolver DNS 방화벽을 사용하면 송신 트래픽을 특정 도메인 이름으로 제한하여 주로 데이터의 무단 유출을 방지할 수도 있습니다. DNS 방화벽 규칙에서는 지정된 도메인에 대한 액세스를 허용하거나 거부하는 도메인 목록(Route 53 설명서)을 적용할 수 있습니다. 악의적인 활동이나 기타 잠재적인 위협과 관련된 도메인 이름이 포함된 AWS 관리형 도메인 목록을 사용하거나 사용자 지정 도메인 목록을 생성할 수 있습니다. DNS 방화벽 규칙 그룹을 생성한 다음 VPC에 적용합니다. 아웃바운드 DNS 요청은 도메인 이름 확인을 위해 VPC의 Resolver를 통해 라우팅되며, DNS 방화벽은 VPC에 적용된 규칙 그룹을 기반으로 요청을 필터링합니다. Resolver로 가는 재귀적 DNS 요청은 전송 게이트웨이와 Network Firewall 경로를 통해 흐르지 않습니다. Route 53 Resolver와 DNS 방화벽은 VPC에서 나가는 별도의 송신 경로로 간주해야 합니다.

다음 이미지는 중앙 집중식 송신을 위한 샘플 아키텍처를 보여줍니다. 네트워크 통신이 시작되기 전에 DNS 요청이 Route 53 Resolver로 전송됩니다. 여기서 DNS 방화벽은 통신에 사용되는 IP 주소의 확인을 허용하거나 거부합니다. 인터넷으로 향하는 트래픽은 중앙 집중식 네트워킹 계정의 전송 게이트웨이로 라우팅됩니다. 전송 게이트웨이는 검사를 위해 트래픽을 Network Firewall에 전달합니다. 방화벽 정책이 송신 트래픽을 허용하는 경우 트래픽은 NAT 게이트웨이, 인터넷 게이트웨이 및 인터넷을 통해 라우팅됩니다. AWS Firewall Manager를 사용하여 다중 계정 인프라 전체에서 DNS 방화벽 규칙 그룹과 Network Firewall 정책을 중앙에서 관리할 수 있습니다.


        네트워크 계정을 통해 다른 계정에서 인터넷으로 트래픽 라우팅

송신 트래픽 보안 모범 사례

  • 로깅 전용 모드(Route 53 설명서)에서 시작합니다. 합법적인 트래픽이 영향을 받지 않는지 확인한 후 차단 모드로 변경합니다.

  • 인터넷으로 가는 DNS 트래픽을 차단합니다. 모든 DNS 쿼리는 AWS CloudTrail이 쿼리를 로깅하고 DNS 방화벽이 쿼리를 필터링하는 Route 53 Resolver를 통해 라우팅해야 합니다. 자세한 내용은 Resolving DNS queries between VPCs and your network(Route 53 설명서)를 참조하세요. Amazon GuardDuty 등의 다른 보안 서비스를 사용하여 알림을 설정할 수도 있습니다.

  • DNS 방화벽과 Network Firewall에서 AWS 관리형 도메인 목록(Route 53 설명서)을 사용합니다.

  • .info, .top, .xyz 또는 일부 국가 코드 도메인과 같이 위험도가 높고 사용되지 않는 최상위 도메인을 차단하는 것을 고려합니다.

  • 포트 1389, 4444, 3333, 445, 135, 139 또는 53과 같이 위험도가 높고 사용되지 않는 포트를 차단하는 것을 고려합니다.

  • 거부 목록을 시작점으로 사용할 수 있지만 허용 목록 모델을 구현하는 방향으로 작업합니다. 허용 목록의 경우 광범위하게 시작하는 것이 도움이 됩니다. 예를 들어, 허용 목록에 정규화된 도메인 이름만 포함하는 대신 *.com 또는 *.amazonaws.com과 같은 와일드카드를 사용하여 시작할 수 있습니다.

  • 위의 모범 사례에 대한 예외 사항을 처리하는 프로세스를 정의합니다.