Firewall Manager가 정책의 VPC 라우팅 테이블을 관리하고 모니터링하는 방법 - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Firewall Manager가 정책의 VPC 라우팅 테이블을 관리하고 모니터링하는 방법

이 섹션에서는 Firewall Manager가 VPC 라우팅 테이블을 관리하고 모니터링하는 방법을 설명합니다.

참고

중앙 집중식 배포 모델을 사용하는 정책에는 현재 라우팅 테이블 관리가 지원되지 않습니다.

Firewall Manager가 방화벽 엔드포인트를 생성하면 해당 엔드포인트에 대한 VPC 라우팅 테이블도 생성됩니다. 하지만 Firewall Manager는 VPC 라우팅 테이블을 관리하지 않습니다. Firewall Manager에서 생성한 방화벽 엔드포인트로 네트워크 트래픽을 전달하도록 VPC 라우팅 테이블을 구성해야 합니다. Amazon VPC 수신 라우팅 개선 사항을 사용하여 라우팅 테이블을 변경하여 새 방화벽 엔드포인트를 통해 트래픽을 라우팅합니다. 변경 시 보호하려는 서브넷과 외부 위치 사이에 방화벽 엔드포인트를 삽입해야 합니다. 필요로 하는 정확한 라우팅은 아키텍처와 해당 구성 요소에 따라 다릅니다.

현재 Firewall Manager를 사용하면 방화벽을 우회하는 인터넷 게이트웨이로 향하는 모든 트래픽에 대해 VPC 라우팅 테이블 경로를 모니터링할 수 있습니다. Firewall Manager는 게이트웨이와 같은 다른 대상 NAT 게이트웨이를 지원하지 않습니다.

에 대한 라우팅 테이블 관리에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서의 대한 라우팅 테이블 관리를 VPC VPC참조하세요. 네트워크 방화벽의 라우팅 테이블 관리에 대한 자세한 내용은 AWS Network Firewall 개발자 안내서AWS Network Firewall에 대한 라우팅 테이블 구성을 참조하세요.

정책에 대한 모니터링을 활성화하면 Firewall Manager는 VPC 라우팅 구성을 지속적으로 모니터링하고 해당 에 대한 방화벽 검사를 우회하는 트래픽에 대해 알립니다VPC. 서브넷에 방화벽 엔드포인트 경로가 있는 경우 Firewall Manager는 다음 경로를 찾습니다.

  • 네트워크 방화벽 엔드포인트로 트래픽을 보내기 위한 경로입니다.

  • 네트워크 방화벽 엔드포인트에서 인터넷 게이트웨이로 트래픽을 전달하는 경로입니다.

  • 인터넷 게이트웨이에서 네트워크 방화벽 엔드포인트까지의 인바운드 경로입니다.

  • 방화벽 서브넷의 경로.

서브넷에 네트워크 방화벽 경로가 있지만 네트워크 방화벽 및 인터넷 게이트웨이 라우팅 테이블에 비대칭 라우팅이 있는 경우 Firewall Manager는 해당 서브넷을 규정을 준수하지 않는 것으로 보고합니다. 또한 Firewall Manager는 Firewall Manager가 생성한 방화벽 라우팅 테이블과 서브넷의 라우팅 테이블에서 인터넷 게이트웨이로 가는 경로를 탐지하여 이를 비준수로 보고합니다. 네트워크 방화벽 서브넷 라우팅 테이블 및 인터넷 게이트웨이 라우팅 테이블의 추가 경로도 규정을 준수하지 않는 것으로 보고됩니다. Firewall Manager는 위반 유형에 따라 경로 구성을 준수하기 위한 수정 조치를 제안합니다. Firewall Manager는 모든 경우에 제안 사항을 제공하지는 않습니다. 예를 들어 고객 서브넷에 Firewall Manager 외부에서 생성된 방화벽 엔드포인트가 있는 경우 Firewall Manager는 수정 조치를 제안하지 않습니다.

기본적으로 Firewall Manager는 검사 대상 가용 영역 경계를 넘는 모든 트래픽을 비준수로 표시합니다. 그러나 에서 단일 엔드포인트를 자동으로 생성하도록 선택한 경우 VPCFirewall Manager는 가용 영역 경계를 통과하는 트래픽을 규정 미준수로 표시하지 않습니다.

사용자 지정 엔드포인트 구성과 함께 분산 배포 모델을 사용하는 정책의 경우 방화벽 엔드포인트가 없는 가용 영역에서 가용 영역 경계를 넘는 트래픽을 규정 준수로 표시할지 비준수로 표시할지 선택할 수 있습니다.

참고
  • Firewall Manager는 IPv6 및 접두사 목록 경로와 같은 비IPv4경로에 대한 수정 작업을 제안하지 않습니다.

  • 호출을 사용하여 이루어진 DisassociateRouteTable API 호출은 감지하는 데 최대 12시간이 걸릴 수 있습니다.

  • Firewall Manager는 방화벽 엔드포인트가 포함된 서브넷에 대해 네트워크 방화벽 라우팅 테이블을 생성합니다. Firewall Manager는 이 라우팅 테이블에 유효한 인터넷 게이트웨이와 VPC 기본 경로만 포함되어 있다고 가정합니다. 이 라우팅 테이블의 추가 경로나 유효하지 않은 경로는 규정을 준수하지 않는 것으로 간주됩니다.

Firewall Manager 정책을 구성할 때 모니터링 모드를 선택하면 Firewall Manager는 리소스 위반 및 리소스에 대한 수정 세부 정보를 제공합니다. 이렇게 제안된 수정 조치를 사용하여 라우팅 테이블의 경로 문제를 해결할 수 있습니다. 끄기 모드를 선택하면 Firewall Manager가 라우팅 테이블 콘텐츠를 모니터링하지 않습니다. 이 옵션을 사용하면 VPC 라우팅 테이블을 직접 관리할 수 있습니다. 이러한 리소스 위반에 대한 자세한 내용은 AWS Firewall Manager 정책에 대한 규정 준수 정보 보기을 참조하세요.

주의

정책을 생성할 때 AWS Network Firewall 라우팅 구성에서 모니터링을 선택한 경우 해당 정책에 대해 해당 설정을 끌 수 없습니다. 하지만 끄기를 선택하면 나중에 활성화할 수 있습니다.