Amazon VPC의 인터네트워크 트래픽 개인 정보 보호 - Amazon Virtual Private Cloud

Amazon VPC의 인터네트워크 트래픽 개인 정보 보호

Amazon Virtual Private Cloud는 Virtual Private Cloud(VPC)의 보안을 강화하고 모니터링하기 위해 사용할 수 있는 여러 가지 기능을 제공합니다.

  • 보안 그룹: 보안 그룹은 연결된 Amazon EC2 인스턴스에 대한 방화벽 역할을 하여 인스턴스 수준에서 인바운드 트래픽과 아웃바운드 트래픽을 모두 제어합니다. 인스턴스를 시작할 때 생성한 하나 이상의 보안 그룹과 인스턴스를 연결할 수 있습니다. VPC의 각 인스턴스는 서로 다른 보안 그룹 세트에 속할 수 있습니다. 인스턴스를 시작할 때 보안 그룹을 지정하지 않을 경우 VPC에 대해 인스턴스는 기본 보안 그룹과 자동으로 연결됩니다. 자세한 내용은 VPC의 보안 그룹 단원을 참조하십시오.

  • 네트워크 ACL(액세스 제어 목록): 네트워크 ACL은 연결된 서브넷에 대해 방화벽 역할을 하여 서브넷 수준에서 인바운드 트래픽과 아웃바운드 트래픽을 모두 제어합니다. 자세한 정보는 네트워크 ACL 단원을 참조하십시오.

  • 흐름 로그: 흐름 로그는 VPC의 네트워크 인터페이스에서 양방향으로 이동하는 IP 트래픽에 대한 정보를 캡처합니다. VPC, 서브넷 또는 개별 네트워크 인터페이스에 대한 흐름 로그를 생성할 수 있습니다. 흐름 로그 데이터는 CloudWatch Logs 또는 Amazon S3에 게시되며 과도하게 제한하거나 과도하게 허용하는 보안 그룹과 네트워크 ACL 규칙을 진단하는 데 도움이 될 수 있습니다. 자세한 내용은 VPC 흐름 로그 단원을 참조하십시오.

  • 트래픽 미러링: Amazon EC2 인스턴스의 탄력적 네트워크 인터페이스에서 네트워크 트래픽을 복사할 수 있습니다. 그런 다음 트래픽을 대역 외 보안 및 모니터링 어플라이언스에 보낼 수 있습니다. 자세한 내용은 트래픽 미러링 가이드를 참조하십시오.

AWS Identity and Access Management(IAM)를 사용하여 조직에서 누가 보안 그룹, 네트워크 ACL 및 흐름 로그를 생성하고 관리할 수 있는지를 제어할 수 있습니다. 예를 들어 네트워크 관리자에게는 이러한 권한을 부여하고, 인스턴스만 시작하면 되는 사용자에게는 부여하지 않을 수 있습니다. 자세한 내용은 Amazon VPC의 Identity and Access Management 단원을 참조하십시오.

Amazon 보안 그룹과 네트워크 ACL은 링크-로컬 주소(169.254.0.0/16) 또는 AWS에서 예약한 IPv4 주소(VPC에 대한 Amazon DNS 서버 주소가 포함된 서브넷의 첫 IPv4 주소 4개)를 주고받는 트래픽을 필터링하지 않습니다. 마찬가지로 흐름 로그는 이러한 주소에서 송수신되는 IP 트래픽을 수집하지 않습니다. 이러한 주소는 다음을 지원합니다.

  • DNS(도메인 이름 서비스)

  • Dynamic Host Configuration Protocol(DHCP)

  • Amazon EC2 인스턴스 메타데이터

  • Key Management Server(KMS) — Windows 인스턴스의 라이선스 관리

  • 서브넷의 라우팅

인스턴스에서 추가 방화벽 솔루션을 구현하여 링크-로컬 주소와의 네트워크 통신을 차단할 수 있습니다.

보안 그룹 및 네트워크 ACL 비교

다음 표는 보안 그룹과 네트워크 ACL의 근본적인 차이를 요약한 것입니다.

보안 그룹 네트워크 ACL

인스턴스 레벨에서 운영됩니다.

서브넷 레벨에서 운영됩니다.

허용 규칙만 지원

허용 및 거부 규칙 지원

상태 저장: 규칙에 관계없이 반환 트래픽이 자동으로 허용됨

상태 비저장: 반환 트래픽이 규칙에 의해 명시적으로 허용되어야 함

트래픽 허용 여부를 결정하기 전에 모든 규칙을 평가함

트래픽 허용 여부를 결정할 때 번호가 가장 낮은 규칙부터 순서대로 규칙을 처리합니다.

인스턴스 시작 시 누군가 보안 그룹을 지정하거나, 나중에 보안 그룹을 인스턴스와 연결하는 경우에만 인스턴스에 적용됨

연결된 서브넷의 모든 인스턴스에 자동 적용됨(보안 그룹 규칙이 지나치게 허용적일 경우 추가 보안 계층 제공)

다음 다이어그램은 보안 그룹과 네트워크 ACL에서 제공하는 보안 계층을 보여 줍니다. 예를 들어, 인터넷 게이트웨이의 트래픽은 라우팅 테이블의 라우팅을 사용하여 적절한 서브넷에 라우팅됩니다. 서브넷과 연결된 네트워크 ACL 규칙은 서브넷에 허용되는 트래픽 유형을 제어합니다. 인스턴스와 연결된 보안 그룹 규칙은 인스턴스에 허용되는 트래픽 유형을 제어합니다.


        트래픽은 보안 그룹과 네트워크 ACL을 통해 제어됨

보안 그룹만 사용하여 인스턴스를 보호할 수 있습니다. 그러나 네트워크 ACL을 추가 방어 계층으로 추가할 수 있습니다. 문제 해결 예는 예: 서브넷 내 인스턴스에 대한 액세스 제어 단원을 참조하십시오.