보안 그룹 정책 - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced
공통 보안 그룹 정책콘텐츠 감사 보안 그룹 정책사용 감사 보안 그룹 정책모범 사례보안 그룹 정책 제한 사항보안 그룹 정책 사용 사례

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안 그룹 정책

에서 AWS Firewall Manager 보안 그룹 정책을 사용하여 조직의 Amazon Virtual Private Cloud 보안 그룹을 관리할 수 AWS Organizations있습니다. 중앙에서 제어하는 보안 그룹 정책을 전체 조직 또는 선택한 계정 및 리소스 하위 집합에 적용할 수 있습니다. 또한 감사 및 사용 보안 그룹 정책을 사용하여 조직에서 사용 중인 보안 그룹 정책을 모니터링하고 관리할 수 있습니다.

Firewall Manager는 정책을 지속적으로 유지 관리하고 조직 전체에서 추가되거나 업데이트되는 계정과 리소스에 적용합니다. 에 대한 AWS Organizations자세한 내용은 AWS Organizations 사용 설명서를 참조하십시오. Amazon Virtual Private Cloud 보안 그룹에 관한 자세한 내용은 Amazon VPC 사용 설명서VPC의 보안 그룹을 참조하세요.

Firewall Manager 보안 그룹 정책을 사용하여 AWS 조직 전체에서 다음을 수행할 수 있습니다.

  • 지정된 계정과 리소스에 공통 보안 그룹을 적용합니다.

  • 보안 그룹 규칙을 감사하여 규정 미준수 규칙을 찾고 문제를 해결합니다.

  • 보안 그룹의 사용을 감사하여 사용되지 않는 보안 그룹과 중복 보안 그룹을 정리합니다.

이 단원에서는 Firewall Manager 보안 그룹 정책의 작동 방식을 다루고 정책 사용 지침을 제공합니다. 보안 그룹 정책을 생성하는 절차는 AWS Firewall Manager 정책 생성을 참조하세요.

공통 보안 그룹 정책

공통 보안 그룹 정책을 사용하면 Firewall Manager는 조직 전체에서 계정과 리소스에 대한 보안 그룹의 연결을 중앙에서 제어할 수 있습니다. 조직에서 정책을 적용할 위치와 방법을 지정합니다.

다음과 같은 리소스 유형에 공통 보안 그룹 정책을 적용할 수 있습니다.

  • Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스

  • 탄력적 네트워크 인터페이스

  • Application Load Balancer

  • Classic Load Balancer

콘솔을 사용하여 공통 보안 그룹 정책을 생성하는 방법에 대한 지침은 공통 보안 그룹 정책 생성을 참조하세요.

공유 VPC

공통 보안 그룹 정책에 대한 정책 범위 설정에서 공유 VPC를 포함하도록 선택할 수 있습니다. 이 옵션에는 다른 계정이 소유하고 범위 내 계정과 공유되는 VPC가 포함됩니다. 범위 내 계정이 소유한 VPC는 항상 포함됩니다. 공유 VPC에 대한 자세한 내용은 Amazon VPC 사용 설명서공유 VPC 작업을 참조하세요.

공유 VPC 포함에는 다음과 같은 주의 사항이 적용됩니다. 다음은 보안 그룹 정책 제한 사항에서 보안 그룹 정책에 대한 일반적인 주의 사항에 추가됩니다.

  • Firewall Manager는 범위 내 각 계정에 대해 기본 보안 그룹을 VPC에 복제합니다. 공유 VPC의 경우, Firewall Manager는 VPC가 공유되는 범위 내 각 계정에 대해 기본 보안 그룹을 한 번 복제합니다. 이로 인해 단일 공유 VPC에 여러 개의 복제본이 생성될 수 있습니다.

  • 새 공유 VPC를 생성하면 정책 범위 내에 있는 VPC에 리소스를 하나 이상 생성할 때까지 해당 공유 VPC가 Firewall Manager 보안 그룹 정책 세부 정보에 표시되지 않습니다.

  • 공유 VPC가 활성화된 정책에서 공유 VPC를 비활성화하면 공유 VPC에서 Firewall Manager는 리소스와 연결되지 않은 복제본 보안 그룹을 삭제합니다. Firewall Manager는 나머지 복제본 보안 그룹을 그대로 두지만 관리를 중단합니다. 나머지 보안 그룹을 제거하려면 각 공유 VPC 인스턴스에서 수동으로 관리해야 합니다.

기본 보안 그룹

각 공통 보안 그룹 정책에 대해 하나 이상의 기본 보안 그룹을 제공합니다 AWS Firewall Manager .

  • 기본 보안 그룹은 Firewall Manager 관리자 계정으로 생성해야 하며 계정의 모든 Amazon VPC 인스턴스에 상주할 수 있습니다.

  • Amazon Virtual Private Cloud(Amazon VPC) 또는 Amazon Elastic Compute Cloud(Amazon EC2)를 통해 기본 보안 그룹을 관리할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서보안 그룹 작업을 참조하세요.

  • 하나 이상의 보안 그룹을 Firewall Manager 보안 그룹 정책의 기본 그룹으로 지정할 수 있습니다. 기본적으로 정책에 허용된 보안 그룹 수는 1이지만 요청을 제출하여 수를 증가시킬 수 있습니다. 자세한 내용은 AWS Firewall Manager 할당량을 참조하세요.

정책 규칙 설정

공통 보안 그룹 정책의 보안 그룹 및 리소스에 대해 다음 변경 제어 동작 중 하나 이상을 선택할 수 있습니다.

  • 로컬 사용자가 변경한 내용을 식별하고 복제본 보안 그룹으로 되돌립니다.

  • 정책 범위 내에 있는 AWS 리소스에서 다른 보안 그룹을 모두 분리하십시오.

  • 기본 그룹의 태그를 복제본 보안 그룹에 배포합니다.

    중요

    Firewall Manager는 AWS 서비스에서 추가한 시스템 태그를 복제본 보안 그룹에 배포하지 않습니다. 시스템 태그는 aws: 접두사로 시작합니다. 정책에 조직의 태그 정책과 충돌하는 태그가 있는 경우 Firewall Manager는 기존 보안 그룹의 태그를 업데이트하거나 새 보안 그룹을 만들지 않습니다. 태그 정책에 대한 자세한 내용은 AWS Organizations 사용 설명서의 태그 정책을 참조하십시오.

  • 기본 그룹에서 복제본 보안 그룹으로 보안 그룹을 배포합니다.

    이를 통해 모든 범위 내 리소스에서 지정된 보안 그룹의 VPC와 연결된 인스턴스에 대해 공통 보안 그룹 참조 규칙을 쉽게 설정할 수 있습니다. 이 옵션을 활성화하면 Firewall Manager는 보안 그룹이 Amazon Virtual Private Cloud의 피어 보안 그룹을 참조하는 경우에만 보안 그룹 참조를 전파합니다. 복제 보안 그룹이 피어 보안 그룹을 올바르게 참조하지 않는 경우 Firewall Manager는 이러한 복제된 보안 그룹을 비준수로 표시합니다. Amazon VPC에서 피어 보안 그룹을 참조하는 방법에 대한 자세한 내용은 Amazon VPC 피어링 가이드의 피어 보안 그룹을 참조하도록 보안 그룹 업데이트를 참조하십시오.

    이 옵션을 활성화하지 않으면 Firewall Manager는 보안 그룹 참조를 복제본 보안 그룹에 전파하지 않습니다. Amazon VPC의 VPC 피어링에 대한 자세한 내용은 Amazon VPC 피어링 가이드를 참조하십시오.

정책 생성 및 관리

공통 보안 그룹 정책을 생성하면 Firewall Manager는 기본 보안 그룹을 정책 범위 내의 모든 Amazon VPC 인스턴스에 복제하고 복제된 보안 그룹을 정책 범위에 있는 계정과 리소스에 연결합니다. 기본 보안 그룹을 수정하면 Firewall Manager는 변경 사항을 복제본에 전파합니다.

공통 보안 그룹 정책을 삭제하면 정책에서 생성된 리소스를 정리할지 여부를 선택할 수 있습니다. Firewall Manager 공통 보안 그룹의 경우 이러한 리소스는 복제본 보안 그룹입니다. 정책을 삭제한 후 각 개별 복제본을 수동으로 관리하려는 경우가 아니면 정리 옵션을 선택합니다. 대부분의 경우 정리 옵션을 선택하는 것이 가장 간단한 접근 방식입니다.

복제본을 관리하는 방법

Amazon VPC 인스턴스의 복제본 보안 그룹은 다른 Amazon VPC 보안 그룹과 같은 방식으로 관리됩니다. 자세한 정보는 Amazon VPC 사용 설명서VPC의 보안 그룹을 참조하세요.

콘텐츠 감사 보안 그룹 정책

AWS Firewall Manager 콘텐츠 감사 보안 그룹 정책을 사용하여 조직의 보안 그룹에서 사용 중인 규칙을 감사하고 정책 조치를 적용할 수 있습니다. 콘텐츠 감사 보안 그룹 정책은 정책에 정의된 범위에 따라 AWS 조직에서 사용 중인 모든 고객 생성 보안 그룹에 적용됩니다.

콘솔을 사용한 콘텐츠 감사 보안 그룹 정책 생성에 대한 지침은 콘텐츠 감사 보안 그룹 정책 생성을 참조하세요.

정책 범위 리소스 유형

다음과 같은 리소스 유형에 콘텐츠 감사 보안 그룹 정책을 적용할 수 있습니다.

  • Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스

  • 탄력적 네트워크 인터페이스

  • Amazon VPC 보안 그룹

보안 그룹이 명시적으로 범위 내에 있거나 범위 내에 있는 리소스와 연결되어 있는 경우 보안 그룹은 정책 범위 내에서 고려됩니다.

정책 규칙 옵션

각 콘텐츠 감사 정책에는 관리형 정책 규칙 또는 사용자 지정 정책 규칙을 사용할 수 있지만 둘 다 사용할 수는 없습니다.

  • 관리형 정책 규칙 - 관리형 규칙이 포함된 정책에서는 애플리케이션 및 프로토콜 목록을 사용하여 Firewall Manager가 감사하고 준수 또는 비준수로 표시하는 규칙을 제어할 수 있습니다. Firewall Manager에서 관리하는 목록을 사용할 수 있습니다. 자체 애플리케이션 및 프로토콜 목록을 만들어 사용할 수도 있습니다. 이러한 유형의 목록 및 사용자 지정 목록의 관리 옵션에 대한 자세한 내용은 관리형 목록을 참조하세요.

  • 사용자 지정 정책 규칙 - 사용자 지정 정책 규칙이 포함된 정책에서는 기존 보안 그룹을 정책의 감사 보안 그룹으로 지정합니다. 감사 보안 그룹 규칙을 Firewall Manager가 감사하고 준수 또는 비준수로 표시하는 규칙을 정의하는 템플릿으로 사용할 수 있습니다.

감사 보안 그룹

정책에서 사용할 수 있으려면 먼저 Firewall Manager 관리자 계정을 사용하여 이러한 감사 보안 그룹을 만들어야 합니다. Amazon Virtual Private Cloud(Amazon VPC) 또는 Amazon Elastic Compute Cloud(Amazon EC2)를 통해 보안 그룹을 관리할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서보안 그룹 작업을 참조하세요.

콘텐츠 감사 보안 그룹 정책에 사용하는 보안 그룹은 Firewall Manager에서 정책의 범위에 있는 보안 그룹에 대한 비교 참조로만 사용됩니다. Firewall Manager는 이를 조직의 어떤 리소스와도 연결하지 않습니다.

감사 보안 그룹에서 규칙을 정의하는 방법은 정책 규칙 설정에 따라 달라집니다.

  • 관리형 정책 규칙 - 관리형 정책 규칙 설정의 경우 감사 보안 그룹을 사용하여 정책의 다른 설정을 재정의하고 다른 규정 준수 결과를 초래할 수 있는 규칙을 명시적으로 허용하거나 거부합니다.

    • 감사 보안 그룹에 정의된 규칙을 항상 허용하도록 선택하면 감사 보안 그룹에 정의된 규칙과 일치하는 모든 규칙이 다른 정책 설정과 상관없이 정책을 준수하는 것으로 간주됩니다.

    • 감사 보안 그룹에 정의된 규칙을 항상 거부하도록 선택하면 감사 보안 그룹에 정의된 규칙과 일치하는 모든 규칙이 다른 정책 설정과 상관없이 정책을 미준수하는 것으로 간주됩니다.

  • 사용자 지정 정책 규칙 - 사용자 지정 정책 규칙 설정의 경우 감사 보안 그룹은 범위 내 보안 그룹 규칙에 허용되거나 허용되지 않는 항목의 예를 제공합니다.

    • 규칙 사용을 허용하도록 선택한 경우 범위 내 모든 보안 그룹에는 정책의 감사 보안 그룹 규칙의 허용 범위 내에 있는 규칙만 있어야 합니다. 이 경우 정책의 보안 그룹 규칙은 수행하도록 허용할 수 있는 작업의 예를 제공합니다.

    • 규칙 사용을 거부하도록 선택한 경우 범위 내 모든 보안 그룹에는 정책의 감사 보안 그룹 규칙의 허용 범위 내에 없는 규칙만 있어야 합니다. 이 경우 정책의 보안 그룹은 수행하도록 허용할 수 없는 작업의 예를 제공합니다.

정책 생성 및 관리

감사 보안 그룹 정책을 생성할 때 자동 문제 해결을 비활성화해야 합니다. 자동 문제 해결을 활성화하기 전에 정책 생성의 효과를 검토하는 것이 좋습니다. 예상되는 효과를 검토한 후 정책을 편집하고 자동 문제 해결을 활성화할 수 있습니다. 자동 문제 해결을 활성화하면 Firewall Manager는 범위 내 보안 그룹에서 규정을 준수하지 않는 규칙을 업데이트하거나 제거합니다.

감사 보안 그룹 정책의 영향을 받는 보안 그룹

조직에서 고객이 생성한 모든 보안 그룹은 감사 보안 그룹 정책의 범위에 속할 수 있습니다.

복제본 보안 그룹은 고객이 생성한 것이 아니므로 감사 보안 그룹 정책의 범위에 직접 포함될 수 없습니다. 하지만 복제본 보안 그룹은 정책의 자동 문제 해결 활동의 결과로 업데이트될 수 있습니다. 공통 보안 그룹 정책의 기본 보안 그룹은 고객이 생성하며 감사 보안 그룹 정책의 범위에 속할 수 있습니다. 감사 보안 그룹 정책에 따라 기본 보안 그룹이 변경되는 경우 Firewall Manager는 이러한 변경 사항을 복제본에 자동으로 전파합니다.

사용 감사 보안 그룹 정책

AWS Firewall Manager 사용 감사 보안 그룹 정책을 사용하여 조직에 사용되지 않고 중복된 보안 그룹이 있는지 모니터링하고 선택적으로 정리를 수행할 수 있습니다. 이 정책에 대해 자동 문제 해결을 활성화하면 Firewall Manager에서 다음을 수행합니다.

  1. 해당 옵션을 선택한 경우 중복 보안 그룹을 통합합니다.

  2. 해당 옵션을 선택한 경우 사용하지 않는 보안 그룹을 제거합니다.

다음과 같은 리소스 유형에 사용 감사 보안 그룹 정책을 적용할 수 있습니다.

  • Amazon VPC 보안 그룹

콘솔을 사용한 사용 감사 보안 그룹 정책 생성에 대한 지침은 사용 감사 보안 그룹 정책 생성을 참조하세요.

Firewall Manager가 중복 보안 그룹을 탐지하고 문제를 해결하는 방법

보안 그룹을 중복 보안 그룹으로 간주하려면 보안 그룹에 정확히 동일한 규칙이 설정된 상태여야 하며 보안 그룹이 동일한 Amazon VPC 인스턴스에 있어야 합니다.

중복 보안 그룹 세트의 문제를 해결하려면 Firewall Manager는 해당 세트의 보안 그룹 중에서 유지할 보안 그룹 하나를 선택한 다음, 해당 보안 그룹을 세트 내의 다른 보안 그룹과 연결된 모든 리소스에 연결합니다. 그런 다음 Firewall Manager는 연결된 리소스에서 다른 보안 그룹을 분리하여 사용하지 않게 합니다.

참고

사용되지 않는 보안 그룹을 제거하도록 선택한 경우 Firewall Manager는 다음에 이 작업을 수행합니다. 그러면 중복 집합에 있는 보안 그룹이 제거될 수 있습니다.

Firewall Manager가 사용하지 않는 보안 그룹을 탐지하고 문제를 해결하는 방법

Firewall Manager는 다음 두 가지 조건에 모두 해당하는 경우 보안 그룹을 사용하지 않는 것으로 간주합니다.

  • 보안 그룹은 Amazon EC2 인스턴스 또는 Amazon EC2 엘라스틱 네트워크 인터페이스에서 사용되지 않습니다.

  • Firewall Manager가 정책 규칙 기간에 지정된 시간 (분) 내에 해당 구성 항목을 받지 못했습니다.

정책 규칙 기간의 기본 설정은 0분이지만 새 보안 그룹을 리소스와 연결할 시간을 확보하기 위해 시간을 최대 365일 (525,600분) 까지 늘릴 수 있습니다.

중요

기본값인 0이 아닌 시간 (분) 을 지정하는 경우 에서 간접 관계를 활성화해야 합니다. AWS Config그렇지 않으면 사용 감사 보안 그룹 정책이 의도한 대로 작동하지 않습니다. 의 간접 관계에 대한 자세한 내용은 AWS Config 개발자 안내서의 간접 관계를 참조하십시오. AWS Config AWS Config

Firewall Manager는 가능한 경우 규칙 설정에 따라 계정에서 사용하지 않는 보안 그룹을 삭제하여 문제를 해결합니다. Firewall Manager에서 보안 그룹을 삭제할 수 없는 경우 정책을 준수하지 않는 것으로 표시합니다. Firewall Manager는 다른 보안 그룹에서 참조하는 보안 그룹을 삭제할 수 없습니다.

수정 시기는 기본 기간 설정을 사용하는지 사용자 지정 설정을 사용하는지에 따라 달라집니다.

  • 기간은 0으로 설정, 기본값 — 이 설정을 사용하면 Amazon EC2 인스턴스 또는 Elastic network Interface에서 보안 그룹을 사용하지 않는 즉시 사용하지 않는 것으로 간주됩니다.

    이 제로 기간 설정의 경우 Firewall Manager는 보안 그룹을 즉시 수정합니다.

  • 0보다 큰 기간 - 이 설정을 사용하면 Amazon EC2 인스턴스 또는 Elastic network 인터페이스에서 보안 그룹을 사용하지 않고 Firewall Manager가 지정된 시간 (분) 내에 보안 그룹에 대한 구성 항목을 받지 않으면 사용하지 않은 것으로 간주됩니다.

    0이 아닌 기간 설정의 경우 Firewall Manager는 보안 그룹이 24시간 동안 사용되지 않은 상태로 유지된 후에 보안 그룹을 수정합니다.

기본 계정 사양

콘솔을 통해 사용 감사 보안 그룹 정책을 생성할 때 Firewall Manager는 지정된 계정 제외 및 기타 모든 계정 포함을 자동으로 선택합니다. 그런 다음 이 서비스는 제외할 목록에 Firewall Manager 관리자 계정을 넣습니다. 이 방법이 권장되는 접근 방식이며 이렇게 하면 Firewall Manager 관리자 계정에 속한 보안 그룹을 수동으로 관리할 수 있습니다.

보안 그룹 정책의 모범 사례

이 단원에서는 AWS Firewall Manager를 사용하여 보안 그룹을 관리하기 위한 권장 사항을 설명합니다.

Firewall Manager 관리자 계정 제외

정책 범위를 설정할 때 Firewall Manager 관리자 계정을 제외합니다. 콘솔을 통해 사용 감사 보안 그룹 정책을 생성할 때는 이 작업이 기본 옵션입니다.

자동 문제 해결이 비활성화된 상태로 시작

콘텐츠 또는 사용 감사 보안 그룹 정책의 경우 자동 문제 해결이 비활성화된 상태로 시작합니다. 정책 세부 정보를 검토하여 자동 문제 해결이 미칠 수 있는 영향을 확인합니다. 변경 내용이 원하는 대로 만족스러우면 정책을 편집하여 자동 문제 해결을 활성화합니다.

외부 소스도 사용하여 보안 그룹을 관리하는 경우 충돌 방지

Firewall Manager 이외의 도구 또는 서비스를 사용하여 보안 그룹을 관리하는 경우 Firewall Manager의 설정과 외부 소스의 설정 간에 충돌이 발생하지 않도록 주의하십시오. 자동 문제 해결을 사용할 때 설정이 충돌하는 경우 충돌하는 문제 해결 주기가 생성되어 양쪽에서 리소스를 소비할 수 있습니다.

예를 들어 AWS 리소스 집합에 대한 보안 그룹을 유지 관리하도록 다른 서비스를 구성하고 동일한 리소스의 일부 또는 전체에 대해 또 다른 보안 그룹을 유지 관리하도록 Firewall Manager 정책을 구성한다고 가정합니다. 한 서비스를 다른 보안 그룹이 범위 내 리소스와 연결되지 않도록 구성하면 해당 서비스가 다른 서비스에서 유지 관리하는 보안 그룹 연결을 제거합니다. 양측 모두 이러한 방식으로 구성되면 충돌하는 연결 해제 및 연결 주기가 발생할 수 있습니다.

또한 Firewall Manager 감사 정책을 만들어 다른 서비스의 보안 그룹 구성과 충돌하는 보안 그룹 구성을 적용한다고 가정해 보겠습니다. Firewall Manager 감사 정책에 의해 적용된 문제 해결이 해당 보안 그룹을 업데이트하거나 삭제하여 다른 서비스가 규정 준수에서 벗어날 수 있습니다. 다른 서비스가 발견된 문제를 모니터링하고 자동으로 해결하도록 구성된 경우 이 서비스가 보안 그룹을 다시 생성하거나 업데이트하여 다시 Firewall Manager 감사 정책을 준수하지 않게 됩니다. Firewall Manager 감사 정책이 자동 문제 해결로 구성된 경우 이 정책이 다시 외부 보안 그룹을 업데이트하거나 삭제하는 식으로 계속 반복됩니다.

이와 같은 충돌을 피하려면 Firewall Manager와 외부 소스 간에 상호 배타적인 구성을 만들어야 합니다.

태그 지정을 사용하여 Firewall Manager 정책에 따라 외부 보안 그룹을 자동 문제 해결에서 제외할 수 있습니다. 이렇게 하려면 보안 그룹 또는 외부 소스에서 관리하는 다른 리소스에 태그를 하나 이상 추가합니다. 그런 다음 Firewall Manager 정책 범위를 정의할 때 리소스 사양에서 추가한 태그가 있는 리소스를 제외합니다.

마찬가지로 외부 도구 또는 서비스에서 Firewall Manager가 관리하는 보안 그룹을 관리 또는 감사 활동에서 제외합니다. Firewall Manager 리소스를 가져오거나 외부 관리에서 제외하기 위해 Firewall Manager 고유 태그를 지정하지 마십시오.

사용 감사 보안 그룹 정책의 모범 사례

사용 감사 보안 그룹 정책을 사용할 때는 이 가이드라인을 따르세요.

  • 짧은 시간 (예: 15분 이내) 내에 보안 그룹의 연결 상태를 여러 번 변경하지 마십시오. 이렇게 하면 Firewall Manager에서 해당 이벤트 중 일부 또는 전체를 놓칠 수 있습니다. 예를 들어, Elastic Network Interface와 보안 그룹을 빠르게 연결하거나 연결 해제하지 마십시오.

  • 사용 감사 보안 그룹 정책에 AWS Config 구성 레코더를 사용하지 마세요. 필요하지 않으며 사용 시 추가 요금이 AWS Config 부과됩니다.

보안 그룹 정책 제한 사항

이 섹션에는 AWS Firewall Manager 보안 그룹 정책 사용에 대한 제한 사항이 나열되어 있습니다.

  • Fargate 서비스 유형을 사용하여 생성한 Amazon EC2 탄력적 네트워크 인터페이스에 대한 보안 그룹 업데이트는 지원되지 않습니다. 하지만 Amazon ECS 서비스 유형을 사용하여 Amazon EC2 탄력적 네트워크 인터페이스에 대한 보안 그룹을 업데이트할 수 있습니다.

  • Firewall Manager는 Amazon 관계형 데이터베이스 서비스에서 생성한 Amazon EC2 탄력적 네트워크 인터페이스의 보안 그룹을 지원하지 않습니다.

  • Amazon ECS 탄력적 네트워크 인터페이스 업데이트는 롤링 업데이트(Amazon ECS) 배포 컨트롤러를 사용하는 Amazon ECS 서비스에 대해서만 가능합니다. CODE_DEPLOY 또는 외부 컨트롤러와 같은 다른 Amazon ECS 배포 컨트롤러의 경우 현재 Firewall Manager는 탄력적 네트워크 인터페이스를 업데이트할 수 없습니다.

  • Amazon EC2 탄력적 네트워크 인터페이스에 대한 보안 그룹을 사용하는 경우, 보안 그룹에 대한 변경 사항은 Firewall Manager에 즉시 표시되지 않습니다. Firewall Manager는 일반적으로 몇 시간 내에 변경 사항을 탐지하지만 탐지는 최대 6시간까지 지연될 수 있습니다.

  • Firewall Manager는 Network Load Balancer에 대한 탄력적 네트워크 인터페이스의 보안 그룹 업데이트를 지원하지 않습니다.

  • 공통 보안 그룹 정책에서 공유 VPC가 나중에 계정과 공유되지 않는 경우 Firewall Manager는 계정의 복제본 보안 그룹을 삭제하지 않습니다.

  • 사용 감사 보안 그룹 정책의 경우 범위가 모두 같은 사용자 지정 지연 시간 설정을 사용하여 정책을 여러 개 만들면 규정 준수 결과가 있는 첫 번째 정책이 결과를 보고하는 정책이 됩니다.

보안 그룹 정책 사용 사례

AWS Firewall Manager 공통 보안 그룹 정책을 사용하여 Amazon VPC 인스턴스 간 통신을 위한 호스트 방화벽 구성을 자동화할 수 있습니다. 이 단원에서는 표준 Amazon VPC 아키텍처를 나열하고 Firewall Manager 공통 보안 그룹 정책을 사용하여 각 아키텍처를 보호하는 방법을 설명합니다. 이러한 보안 그룹 정책을 사용하면 통합된 규칙 세트를 적용하여 다양한 계정의 리소스를 선택하고 Amazon Elastic Compute Cloud 및 Amazon VPC에서 계정별 구성을 피할 수 있습니다.

Firewall Manager 공통 보안 그룹 정책을 사용하면 다른 Amazon VPC의 인스턴스와 통신하는 데 필요한 EC2 탄력적 네트워크 인터페이스에만 태그를 지정할 수 있습니다. 동일한 Amazon VPC의 다른 인스턴스는 더 안전하게 보호되고 격리됩니다.

사용 사례: Application Load Balancer 및 Classic Load Balancer에 대한 요청 모니터링 및 제어

Firewall Manager 공통 보안 그룹 정책을 사용하여 범위 내 로드 밸런서가 처리해야 하는 요청을 정의할 수 있습니다. Firewall Manager 콘솔을 통해 이를 구성할 수 있습니다. 보안 그룹의 인바운드 규칙을 준수하는 요청만 로드 밸런서에 도달할 수 있으며, 로드 밸런서는 아웃바운드 규칙을 충족하는 요청만 배포합니다.

사용 사례: 인터넷에 액세스할 수 있는 퍼블릭 Amazon VPC

Firewall Manager 공통 보안 그룹 정책을 사용하여 퍼블릭 Amazon VPC를 보호할 수 있습니다. 예를 들면, 인바운드 포트 443만 허용할 수 있습니다. 이렇게 하면 퍼블릭 VPC에 대한 인바운드 HTTPS 트래픽만 허용하는 것과 같습니다. VPC 내의 퍼블릭 리소스(예: “PublicVpc”)에 태그를 지정한 다음 Firewall Manager 정책 범위를 해당 태그가 있는 리소스만으로 설정할 수 있습니다. Firewall Manager는 해당 리소스에 정책을 자동으로 적용합니다.

사용 사례: 퍼블릭 및 프라이빗 Amazon VPC 인스턴스

인터넷에서 액세스할 수 있는 퍼블릭 Amazon VPC 인스턴스에 대한 이전 사용 사례에서 권장되는 것과 동일한 공통 보안 그룹 정책을 퍼블릭 리소스에 사용할 수 있습니다. 두 번째 공통 보안 그룹 정책을 사용하여 퍼블릭 리소스와 프라이빗 리소스 간의 통신을 제한할 수 있습니다. 퍼블릭 및 프라이빗 Amazon VPC 인스턴스의 리소스에 PublicPrivate "“와 같은 태그를 지정하여 두 번째 정책을 적용합니다. 세 번째 정책을 사용하여 프라이빗 리소스와 기타 기업 또는 프라이빗 Amazon VPC 인스턴스 간에 허용되는 통신을 정의할 수 있습니다. 이 정책의 경우 프라이빗 리소스에서 다른 식별 태그를 사용할 수 있습니다.

사용 사례: 허브 및 스포크 Amazon VPC 인스턴스

공통 보안 그룹 정책을 사용하여 허브 Amazon VPC 인스턴스와 스포크 Amazon VPC 인스턴스 간의 통신을 정의할 수 있습니다. 두 번째 정책을 사용하여 각 스포크 Amazon ECS 인스턴스에서 허브 Amazon ECS 인스턴스로 연결되는 통신을 정의할 수 있습니다.

사용 사례: Amazon EC2 인스턴스의 기본 네트워크 인터페이스

공통 보안 그룹 정책을 사용하여 내부 SSH 및 패치/OS 업데이트 서비스와 같은 표준 통신만 허용하고 다른 안전하지 않은 통신을 허용하지 않을 수 있습니다.

사용 사례: 공개 권한이 있는 리소스 식별

감사 보안 그룹 정책을 사용하여 퍼블릭 IP 주소와 통신할 권한이 있거나 타사 공급업체에 속한 IP 주소가 있는 조직 내의 모든 리소스를 식별할 수 있습니다.