네트워크 보안 및 문제 해결
네트워크 보안
계층화된 네트워크
VPC의 계층화된 네트워크 방어
보안에는 도움이 되지만 속도가 저하될 수 있습니다.
보안 그룹
보안 그룹
- 탄력적 네트워크 인터페이스 수준에서 트래픽 허용
- 기본적으로 다음과 같이 구성 모든 인바운드 트래픽을 거부 모든 아웃바운드 트래픽 허용
- 스테이트풀(상태를 저장합니다.) - 규칙에서 트래픽이 한 방향으로 이동 하는 것을 허용하면 응답은 자동으로 반대 방향으로 이동할 수 있음
- 일반적으로 애플리케이션 개발자가 관리
세션을 가지고 있어서 들어올 때만 검사하고 나갈 때는 검사하지 않는다.
네트워크 액세스 제어 목록
네트워크 액세스 제어 목록(네트워크 ACL):
- 서브넷과 주고받는 트래픽 허용 또는 거부
- 기본 네트워크 ACL: 모든 인바운드 및 아웃바운드 트래픽 허용
- 스테이트리스(상태를 저장하지 않습니다.) 규칙에서 트래픽이 한 방향으로 흐르도록 허 용하는 경우에도, 응답이 반대 방향으로 흐르 도록 명시적으로 허용해야 함
- 서브넷 수준에서 2차 방어 계층으로 보안 강화
기본(NACL)은 다 허용하는데, 사용자가 만들면(사용자 정의) 모두 거부합니다.
세션을 가지고 있지 않아서 들어올 때랑 나갈 때 둘 다 검사합니다.
배스천 호스트
배스천 호스트
외부에서 들어올때 사용합니다. 단방향 라우팅.
들어오는 것 만 허용합니다.
보안 그룹끼리 연동하는 것을 배스천 호스트라고 할 수 있습니다.
점점 시스템 매니저의 세션 관리자로 대체되고 있습니다.
- 퍼블릭 서브넷과 프라이빗 서브넷 간의 액세스를 제공 합니다.
- 프라이빗 서브넷에 액세스하기 위한 점프 지점
- 배스천에 프라이빗 키를 저장하지 마십시오.
- Linux 인스턴스의 경우 Secure Shell(SSH) 클라 이언트의 에이전트 전달 기능을 사용하여 키를 지정합니다.
- Microsoft Windows 인스턴스의 경우 Amazon Elastic Compute Cloud(Amazon EC2) 콘솔에서 키를 사용하여 암호를 해독한 뒤 도메인으로 인 스턴스를 복사합니다.
Linux 배스천 호스트 보안 그룹
Windows 배스천 호스트로서의 원격 데스크톱 게이트웨이
AWS 기반 네트워크 문제 해결
일반적인 문제 해결 태스크
- 해당 인스턴스가 시작 및 실행되고 있는지 확인합니다. 시스템 상태 및 인스턴스 상태 검사를 모두 통과했는지 확인합니다.
- 인스턴스와 연결된 보안 그룹이 필요한 프로토콜 및 포트에 대 한 연결을 허용하는지 확인합니다.
- 서브넷과 연결된 네트워크 ACL이 필요한 포트 및 프로토콜의 트래픽을 허용하는지 확인합니다.
- 서브넷과 연결된 라우팅 테이블에 적절한 대상을 가리키는 대 상 규칙이 있는지 확인합니다.
인스턴스 용량 문제 해결
인터넷을 통해 인스턴스에 연결할 수 없는 경우
- 사용중인 공용 IP주소 또는 도 메인 이름 시스템(DNS) 이름이 올바른지 확인합니다.
- 인스턴스에 공인 IP주소 또는 탄력적 IP주소가 있는지 확인합니다.
- 인터넷 게이트웨이가 인스턴스의 VPC에 연결되어 있는지 확인합니다.
- 인스턴스 서브넷의 라우팅 테이블에 인터넷 게이트웨이를 통한 대상 0.0.0.0/0에 대한 라우팅 큐칙이 있는지 확인합니다.
SSH 연결 문제 해결
SSH를 통해 인스턴스에 연결할 수 없는 경우
- 다음 인스턴스 연결 보안 인증 정보를 확인합니다.
- 사용자 이름
- 인스턴스 프라이빗 키
NAT 문제 해결
NAT 구성이 작동하지 않는 경우
- NAT 게이트웨이 또는 NAT인스턴스
- 라우팅 테이블에 NAT인스턴스 또는 NAT 게이트웨이에 대한 경로가 있는지 확인합니다.
- NAT 인스턴스
- 원본/대상 확인이 비활성화되어 있는지 확인합니다.
- NAT 인스턴스를 다시 시작합니다.
- 인바운드 보안 그룹 규칙을 확인합니다.
VPC 피어링 문제 해결
피어링된 네트워크에 있는 리소스에 도달할 수 없는 경우
- 피어링 요청이 승인되었는지 확인합니다.
- 보안 그룹 규칙 확인 - VPC A의 Classless Inter-Domain Routing(CIDR) 차단 범위를 사용하여 VPC B에서 액세스를 허용하거나 VPC A의 보안 그룹ID를 사용해야 합니다.
- 네트워크 ACL 확인 - 네트워크 ACL이 모든 외부 트래픽을 거부하는지 확인합니다.
핵심 사항
- 계층화된 설계로 네트워크를 보호합니다. 계층 네트워크는 다음을 활용할 수 있습니다. 트래픽 흐름을 제어하기 위한 라우팅 테이블
- 네트워크로 들어오고 나가는 트래픽을 제어하기 위한 네트 워크 액세스 제어 목록(NACL)
- 호스트 및 서비스에 대한 트래픽을 제어하는 보안 그룹(SG)
- 다음을 사용하여 관리에 대한 액세스를 보호합니다.
- Linux 기반 호스트에 대한 액세스의 경우 배스천 호스트 22|22
- Windows의 경우 원격 데스크톱(RDP)용 배스천 호스트 443|3389
- 문제 해결 시 다음을 수행합니다.
- 리소스를 사용할 수 있는지 확인합니다.
- 차단하는 NACL 또는 SG가 있는지 확인합니다.
- 호스트 또는 서비스에 대한 라우팅이 올바른지 확인합니다.
knowledge check
-
다음 중 프라이빗 서브넷을 인터넷에 연결하도록 해주는 Virtual Private Cloud(VPC) 연결 옵션은 무엇입니까?
-
VPC 게이트웨이 엔드포인트
-
인터넷 게이트웨이
-
Network Address Translation(NAT) 게이트웨이
-
VPC 피어링
-
-
네트워크 엔지니어가 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 퍼블릭 리소스를 핑하는 데 문제를 겪고 있습니다. 다음 중 문제의 원인으로 가능한 것은 무엇입니까?
-
보안 그룹이 모든 인바운드 트래픽을 허용하고 있습니다.
-
Virtual Private Cloud(VPC)에 인터넷 게이트웨이가 없습니다.
-
네트워크 액세스 제어 목록(네트워크 ACL)이 모든 인바운드 및 아운바운드 트래픽을 허용하고 있습니다.
-
인스턴스에 정적 퍼블릭 IP 주소가 있습니다.
-
-
네트워크 엔지니어가 인스턴스를 중지하되 동일한 정적 퍼블릭 IP 주소를 유지하려고 합니다. 다음 중 엔지니어가 인스턴스에 할당해야 할 IP 주소 유형은 무엇입니까?
-
엔지니어는 IP 주소를 할당할 필요가 없습니다. Virtual Private Cloud(VPC)가 정적 IP 주소를 자동으로 할당합니다.
-
예약 IP 주소
-
퍼블릭 IP 주소
-
탄력적 IP 주소
-
-
다음 중 보안 그룹에 대한 설명으로 옳은 것은 무엇입니까? (2개 선택)
-
보안 그룹은 여러 인스턴스에 적용할 수 있습니다.
-
보안 그룹 연결은 인스턴스 생성 후 추가하거나 수정할 수 있습니다.
-
보안 그룹은 서브넷 수준에서 적용됩니다.
-
보안 그룹에 여러 인스턴스를 할당할 수 있습니다.
-
사용자는 보안 그룹에서 수신 트래픽에 우선순위를 할당할 수 있습니다.
-
-
다음 중 하나의 가용 영역에서만 존재할 수 있는 Virtual Private Cloud(VPC)의 논리적 네트워크 세그먼트는 무엇입니까?
- 보안 그룹
- 가상 프라이빗 게이트웨이
- 인터넷 게이트웨이
- 서브넷
서브넷은 Zone에 속하고 VPC는 리전에 속합니다.
댓글남기기