기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Firewall Manager에서 보안 그룹 정책을 사용하여 Amazon VPC 보안 그룹 관리
이 페이지에서는 AWS Firewall Manager 보안 그룹 정책을 사용하여 조직의 Amazon Virtual Private Cloud 보안 그룹을 관리하는 방법을 설명합니다 AWS Organizations. 중앙에서 제어하는 보안 그룹 정책을 전체 조직 또는 선택한 계정 및 리소스 하위 집합에 적용할 수 있습니다. 또한 감사 및 사용 보안 그룹 정책을 사용하여 조직에서 사용 중인 보안 그룹 정책을 모니터링하고 관리할 수 있습니다.
Firewall Manager는 정책을 지속적으로 유지 관리하고 조직 전체에서 추가되거나 업데이트되는 계정과 리소스에 적용합니다. 에 대한 자세한 내용은 AWS Organizations 사용 설명서를 AWS Organizations참조하세요.
Amazon Virtual Private Cloud 보안 그룹에 대한 자세한 내용은 Amazon VPC 사용 설명서의 Security Groups for YourVPC를 참조하세요.
Firewall Manager 보안 그룹 정책을 사용하여 AWS 조직 전체에서 다음을 수행할 수 있습니다.
-
지정된 계정과 리소스에 공통 보안 그룹을 적용합니다.
-
보안 그룹 규칙을 감사하여 규정 미준수 규칙을 찾고 문제를 해결합니다.
-
보안 그룹의 사용을 감사하여 사용되지 않는 보안 그룹과 중복 보안 그룹을 정리합니다.
이 단원에서는 Firewall Manager 보안 그룹 정책의 작동 방식을 다루고 정책 사용 지침을 제공합니다. 보안 그룹 정책을 생성하는 절차는 AWS Firewall Manager 정책 생성을 참조하세요.
보안 그룹 정책의 모범 사례
이 단원에서는 AWS Firewall Manager를 사용하여 보안 그룹을 관리하기 위한 권장 사항을 설명합니다.
Firewall Manager 관리자 계정 제외
정책 범위를 설정할 때 Firewall Manager 관리자 계정을 제외합니다. 콘솔을 통해 사용 감사 보안 그룹 정책을 생성할 때는 이 작업이 기본 옵션입니다.
자동 문제 해결이 비활성화된 상태로 시작
콘텐츠 또는 사용 감사 보안 그룹 정책의 경우 자동 문제 해결이 비활성화된 상태로 시작합니다. 정책 세부 정보를 검토하여 자동 문제 해결이 미칠 수 있는 영향을 확인합니다. 변경 내용이 원하는 대로 만족스러우면 정책을 편집하여 자동 문제 해결을 활성화합니다.
외부 소스도 사용하여 보안 그룹을 관리하는 경우 충돌 방지
Firewall Manager 이외의 도구 또는 서비스를 사용하여 보안 그룹을 관리하는 경우 Firewall Manager의 설정과 외부 소스의 설정 간에 충돌이 발생하지 않도록 주의하십시오. 자동 문제 해결을 사용할 때 설정이 충돌하는 경우 충돌하는 문제 해결 주기가 생성되어 양쪽에서 리소스를 소비할 수 있습니다.
예를 들어 AWS 리소스 집합에 대한 보안 그룹을 유지 관리하도록 다른 서비스를 구성하고 동일한 리소스의 일부 또는 전체에 대해 또 다른 보안 그룹을 유지 관리하도록 Firewall Manager 정책을 구성한다고 가정합니다. 한 서비스를 다른 보안 그룹이 범위 내 리소스와 연결되지 않도록 구성하면 해당 서비스가 다른 서비스에서 유지 관리하는 보안 그룹 연결을 제거합니다. 양측 모두 이러한 방식으로 구성되면 충돌하는 연결 해제 및 연결 주기가 발생할 수 있습니다.
또한 Firewall Manager 감사 정책을 만들어 다른 서비스의 보안 그룹 구성과 충돌하는 보안 그룹 구성을 적용한다고 가정해 보겠습니다. Firewall Manager 감사 정책에 의해 적용된 문제 해결이 해당 보안 그룹을 업데이트하거나 삭제하여 다른 서비스가 규정 준수에서 벗어날 수 있습니다. 다른 서비스가 발견된 문제를 모니터링하고 자동으로 해결하도록 구성된 경우 이 서비스가 보안 그룹을 다시 생성하거나 업데이트하여 다시 Firewall Manager 감사 정책을 준수하지 않게 됩니다. Firewall Manager 감사 정책이 자동 문제 해결로 구성된 경우 이 정책이 다시 외부 보안 그룹을 업데이트하거나 삭제하는 식으로 계속 반복됩니다.
이와 같은 충돌을 피하려면 Firewall Manager와 외부 소스 간에 상호 배타적인 구성을 만들어야 합니다.
태그 지정을 사용하여 Firewall Manager 정책에 따라 외부 보안 그룹을 자동 문제 해결에서 제외할 수 있습니다. 이렇게 하려면 보안 그룹 또는 외부 소스에서 관리하는 다른 리소스에 태그를 하나 이상 추가합니다. 그런 다음 Firewall Manager 정책 범위를 정의할 때 리소스 사양에서 추가한 태그가 있는 리소스를 제외합니다.
마찬가지로 외부 도구 또는 서비스에서 Firewall Manager가 관리하는 보안 그룹을 관리 또는 감사 활동에서 제외합니다. Firewall Manager 리소스를 가져오거나 외부 관리에서 제외하기 위해 Firewall Manager 고유 태그를 지정하지 마십시오.
사용량 감사 보안 그룹 정책의 모범 사례
사용량 감사 보안 그룹 정책을 사용할 때는 다음 지침을 따르세요.
-
15분 기간 이내와 같이 짧은 시간 내에 보안 그룹의 연결 상태를 여러 번 변경하지 마세요. 그렇게 하면 Firewall Manager가 해당 이벤트의 일부 또는 전부를 놓칠 수 있습니다. 예를 들어 보안 그룹을 탄력적 네트워크 인터페이스와 빠르게 연결하고 연결 해제하지 마세요.
보안 그룹 정책 주의 사항 및 제한 사항
이 섹션에는 Firewall Manager 보안 그룹 정책 사용에 대한 주의 사항 및 제한 사항이 나와 있습니다.
리소스 유형: Amazon EC2 인스턴스
이 섹션에서는 Firewall Manager 보안 그룹 정책을 사용하여 Amazon EC2 인스턴스를 보호하기 위한 주의 사항 및 제한 사항을 나열합니다.
-
Amazon EC2 탄력적 네트워크 인터페이스(ENIs)를 보호하는 보안 그룹을 사용하면 Firewall Manager에 보안 그룹에 대한 변경 사항이 즉시 표시되지 않습니다. Firewall Manager는 일반적으로 몇 시간 내에 변경 사항을 탐지하지만 탐지는 최대 6시간까지 지연될 수 있습니다.
-
Firewall Manager는 Amazon Relational Database Service에서 EC2 ENIs 생성한 Amazon의 보안 그룹을 지원하지 않습니다.
-
Firewall Manager는 Fargate 서비스 유형을 사용하여 EC2 ENIs 생성된 Amazon의 보안 그룹 업데이트를 지원하지 않습니다. 그러나 Amazon EC2 서비스 유형ECSENIs으로 Amazon의 보안 그룹을 업데이트할 수 있습니다.
-
Firewall Manager는 요청자 관리형 Amazon EC2에 대한 보안 그룹 업데이트를 지원하지 않습니다. Firewall Manager는 이를 수정할 권한이 없기 ENIs때문입니다.
-
일반적인 보안 그룹 정책의 경우 이러한 주의 사항은 EC2 인스턴스에 연결된 탄력적 네트워크 인터페이스(ENIs) 수와 추가되지 않은 EC2 인스턴스만 수정할지 또는 모든 인스턴스를 수정할지 지정하는 정책 옵션 간의 상호 작용과 관련이 있습니다. 모든 EC2 인스턴스에는 기본가 있으며 ENI더 많은를 연결할 수 있습니다ENIs. 에서이 선택API에 대한 정책 옵션 설정은 입니다
ApplyToAllEC2InstanceENIs
.범위 내 EC2 인스턴스에 추가 ENIs 연결이 있고 정책이 기본 만 있는 EC2 인스턴스만 포함하도록 구성된 ENI경우 Firewall Manager는 EC2 인스턴스에 대한 수정을 시도하지 않습니다. 또한 인스턴스가 정책 범위를 벗어나는 경우 Firewall Manager는 인스턴스에 대해 설정했을 수 있는 보안 그룹 연결을 연결 해제하려고 시도하지 않습니다.
다음 엣지 사례의 경우 리소스 정리 중에 Firewall Manager는 정책의 리소스 정리 사양에 관계없이 복제된 보안 그룹 연결을 그대로 둘 수 있습니다.
-
추가가 있는 인스턴스ENIs가 이전에 모든 EC2 인스턴스를 포함하도록 구성된 정책에 의해 수정되었고, 인스턴스가 정책 범위를 벗어났거나 추가이 없는 인스턴스만 포함하도록 정책 설정이 변경된 경우ENIs.
-
추가가 없는 인스턴스가 추가이 없는 인스턴스만 포함하도록 구성된 정책에 의해 ENIs 수정ENIs되면 다른 인스턴스가 인스턴스에 연결ENI되고 인스턴스가 정책 범위를 벗어났습니다.
-
기타 주의 사항 및 제한 사항
다음은 Firewall Manager 보안 그룹 정책에 대한 기타 경고 및 제한 사항입니다.
-
Amazon 업데이트ECSENIs는 롤링 업데이트(Amazon ECS) 배포 컨트롤러를 사용하는 Amazon ECS 서비스에서만 가능합니다. CODE_DEPLOY 또는 외부 컨트롤러와 같은 다른 Amazon ECS 배포 컨트롤러의 경우 Firewall Manager는 현재를 업데이트할 수 없습니다ENIs.
-
Firewall Manager는 Network Load BalancerENIs용에서 보안 그룹 업데이트를 지원하지 않습니다.
-
일반적인 보안 그룹 정책에서 공유VPC가 나중에 계정과 공유되지 않는 경우 Firewall Manager는 계정의 복제본 보안 그룹을 삭제하지 않습니다.
-
사용량 감사 보안 그룹 정책을 사용하면 모든 범위가 동일한 사용자 지정 지연 시간 설정으로 여러 정책을 생성하는 경우 규정 준수 조사 결과가 포함된 첫 번째 정책은 조사 결과를 보고하는 정책이 됩니다.
보안 그룹 정책 사용 사례
AWS Firewall Manager 일반적인 보안 그룹 정책을 사용하여 Amazon VPC 인스턴스 간 통신을 위한 호스트 방화벽 구성을 자동화할 수 있습니다. 이 섹션에서는 표준 Amazon VPC 아키텍처를 나열하고 Firewall Manager 공통 보안 그룹 정책을 사용하여 각 아키텍처를 보호하는 방법을 설명합니다. 이러한 보안 그룹 정책은 통합된 규칙 세트를 적용하여 서로 다른 계정의 리소스를 선택하고 Amazon Elastic Compute Cloud 및 Amazon의 계정별 구성을 방지하는 데 도움이 될 수 있습니다VPC.
Firewall Manager 공통 보안 그룹 정책을 사용하면 다른 Amazon의 인스턴스와 통신하는 데 필요한 EC2 탄력적 네트워크 인터페이스에만 태그를 지정할 수 있습니다VPC. 그러면 동일한 Amazon의 다른 인스턴스가 더 안전하고 격리VPC됩니다.
사용 사례: Application Load Balancer 및 Classic Load Balancer에 대한 요청 모니터링 및 제어
Firewall Manager 공통 보안 그룹 정책을 사용하여 범위 내 로드 밸런서가 처리해야 하는 요청을 정의할 수 있습니다. Firewall Manager 콘솔을 통해 이를 구성할 수 있습니다. 보안 그룹의 인바운드 규칙을 준수하는 요청만 로드 밸런서에 도달할 수 있으며, 로드 밸런서는 아웃바운드 규칙을 충족하는 요청만 배포합니다.
사용 사례: 인터넷 액세스 가능, 퍼블릭 Amazon VPC
예를 VPC들어 Firewall Manager 공통 보안 그룹 정책을 사용하여 퍼블릭 Amazon를 보호하여 인바운드 포트 443만 허용할 수 있습니다. 이는 퍼블릭에 대한 인바운드 HTTPS 트래픽만 허용하는 것과 동일합니다VPC. 내에서 퍼블릭 리소스에 태그를 지정한 다음VPC(예: 'PublicVPC') Firewall Manager 정책 범위를 해당 태그가 있는 리소스로만 설정할 수 있습니다. Firewall Manager는 해당 리소스에 정책을 자동으로 적용합니다.
사용 사례: 퍼블릭 및 프라이빗 Amazon VPC 인스턴스
인터넷에 액세스할 수 있는 퍼블릭 Amazon VPC 인스턴스에 대한 이전 사용 사례에서 권장하는 것과 동일한 퍼블릭 리소스에 대한 공통 보안 그룹 정책을 사용할 수 있습니다. 두 번째 공통 보안 그룹 정책을 사용하여 퍼블릭 리소스와 프라이빗 리소스 간의 통신을 제한할 수 있습니다. 퍼블릭 및 프라이빗 Amazon VPC 인스턴스의 리소스에 “PublicPrivate”와 같은 태그를 지정하여 두 번째 정책을 적용합니다. 세 번째 정책을 사용하여 프라이빗 리소스와 다른 기업 또는 프라이빗 Amazon VPC 인스턴스 간의 허용되는 통신을 정의할 수 있습니다. 이 정책의 경우 프라이빗 리소스에서 다른 식별 태그를 사용할 수 있습니다.
사용 사례: 허브 및 스포크 Amazon VPC 인스턴스
공통 보안 그룹 정책을 사용하여 허브 Amazon VPC 인스턴스와 스포크 Amazon VPC 인스턴스 간의 통신을 정의할 수 있습니다. 두 번째 정책을 사용하여 각 스포크 Amazon VPC 인스턴스에서 허브 Amazon VPC 인스턴스로의 통신을 정의할 수 있습니다.
사용 사례: Amazon EC2 인스턴스의 기본 네트워크 인터페이스
공통 보안 그룹 정책을 사용하여 내부 SSH 및 패치/OS 업데이트 서비스와 같은 표준 통신만 허용하고 다른 안전하지 않은 통신은 허용하지 않을 수 있습니다.
사용 사례: 공개 권한이 있는 리소스 식별
감사 보안 그룹 정책을 사용하여 퍼블릭 IP 주소와 통신할 권한이 있거나 타사 공급업체에 속한 IP 주소가 있는 조직 내의 모든 리소스를 식별할 수 있습니다.