끄적끄적 개발 블로그입니다.

3 분 소요

네트워크 보안

계층화된 네트워크

VPC의 계층화된 네트워크 방어

image-20231027162219446

보안에는 도움이 되지만 속도가 저하될 수 있습니다.

보안 그룹

보안 그룹

  • 탄력적 네트워크 인터페이스 수준에서 트래픽 허용
  • 기본적으로 다음과 같이 구성 모든 인바운드 트래픽을 거부 모든 아웃바운드 트래픽 허용
  • 스테이트풀(상태를 저장합니다.) - 규칙에서 트래픽이 한 방향으로 이동 하는 것을 허용하면 응답은 자동으로 반대 방향으로 이동할 수 있음
  • 일반적으로 애플리케이션 개발자가 관리

세션을 가지고 있어서 들어올 때만 검사하고 나갈 때는 검사하지 않는다.

image-20231027165939446

네트워크 액세스 제어 목록

네트워크 액세스 제어 목록(네트워크 ACL):

  • 서브넷과 주고받는 트래픽 허용 또는 거부
  • 기본 네트워크 ACL: 모든 인바운드 및 아웃바운드 트래픽 허용
  • 스테이트리스(상태를 저장하지 않습니다.) 규칙에서 트래픽이 한 방향으로 흐르도록 허 용하는 경우에도, 응답이 반대 방향으로 흐르 도록 명시적으로 허용해야 함
  • 서브넷 수준에서 2차 방어 계층으로 보안 강화

기본(NACL)은 다 허용하는데, 사용자가 만들면(사용자 정의) 모두 거부합니다.

세션을 가지고 있지 않아서 들어올 때랑 나갈 때 둘 다 검사합니다.

image-20231027165926063

배스천 호스트

배스천 호스트

외부에서 들어올때 사용합니다. 단방향 라우팅.

들어오는 것 만 허용합니다.

보안 그룹끼리 연동하는 것을 배스천 호스트라고 할 수 있습니다.

점점 시스템 매니저의 세션 관리자로 대체되고 있습니다.

  • 퍼블릭 서브넷과 프라이빗 서브넷 간의 액세스를 제공 합니다.
    • 프라이빗 서브넷에 액세스하기 위한 점프 지점
  • 배스천에 프라이빗 키를 저장하지 마십시오.
    • Linux 인스턴스의 경우 Secure Shell(SSH) 클라 이언트의 에이전트 전달 기능을 사용하여 키를 지정합니다.
    • Microsoft Windows 인스턴스의 경우 Amazon Elastic Compute Cloud(Amazon EC2) 콘솔에서 키를 사용하여 암호를 해독한 뒤 도메인으로 인 스턴스를 복사합니다.

image-20231027165856802

Linux 배스천 호스트 보안 그룹

image-20231027162420804

Windows 배스천 호스트로서의 원격 데스크톱 게이트웨이

image-20231027170027661

AWS 기반 네트워크 문제 해결

일반적인 문제 해결 태스크

  1. 해당 인스턴스가 시작 및 실행되고 있는지 확인합니다. 시스템 상태 및 인스턴스 상태 검사를 모두 통과했는지 확인합니다.
  2. 인스턴스와 연결된 보안 그룹이 필요한 프로토콜 및 포트에 대 한 연결을 허용하는지 확인합니다.
  3. 서브넷과 연결된 네트워크 ACL이 필요한 포트 및 프로토콜의 트래픽을 허용하는지 확인합니다.
  4. 서브넷과 연결된 라우팅 테이블에 적절한 대상을 가리키는 대 상 규칙이 있는지 확인합니다.

인스턴스 용량 문제 해결

인터넷을 통해 인스턴스에 연결할 수 없는 경우

  • 사용중인 공용 IP주소 또는 도 메인 이름 시스템(DNS) 이름이 올바른지 확인합니다.
  • 인스턴스에 공인 IP주소 또는 탄력적 IP주소가 있는지 확인합니다.
  • 인터넷 게이트웨이가 인스턴스의 VPC에 연결되어 있는지 확인합니다.
  • 인스턴스 서브넷의 라우팅 테이블에 인터넷 게이트웨이를 통한 대상 0.0.0.0/0에 대한 라우팅 큐칙이 있는지 확인합니다.

SSH 연결 문제 해결

SSH를 통해 인스턴스에 연결할 수 없는 경우

  • 다음 인스턴스 연결 보안 인증 정보를 확인합니다.
    • 사용자 이름
    • 인스턴스 프라이빗 키

NAT 문제 해결

NAT 구성이 작동하지 않는 경우

  • NAT 게이트웨이 또는 NAT인스턴스
    • 라우팅 테이블에 NAT인스턴스 또는 NAT 게이트웨이에 대한 경로가 있는지 확인합니다.
  • NAT 인스턴스
  • 원본/대상 확인이 비활성화되어 있는지 확인합니다.
  • NAT 인스턴스를 다시 시작합니다.
  • 인바운드 보안 그룹 규칙을 확인합니다.

VPC 피어링 문제 해결

피어링된 네트워크에 있는 리소스에 도달할 수 없는 경우

  • 피어링 요청이 승인되었는지 확인합니다.
  • 보안 그룹 규칙 확인 - VPC A의 Classless Inter-Domain Routing(CIDR) 차단 범위를 사용하여 VPC B에서 액세스를 허용하거나 VPC A의 보안 그룹ID를 사용해야 합니다.
  • 네트워크 ACL 확인 - 네트워크 ACL이 모든 외부 트래픽을 거부하는지 확인합니다.

핵심 사항

  • 계층화된 설계로 네트워크를 보호합니다. 계층 네트워크는 다음을 활용할 수 있습니다. 트래픽 흐름을 제어하기 위한 라우팅 테이블
    • 네트워크로 들어오고 나가는 트래픽을 제어하기 위한 네트 워크 액세스 제어 목록(NACL)
    • 호스트 및 서비스에 대한 트래픽을 제어하는 보안 그룹(SG)
  • 다음을 사용하여 관리에 대한 액세스를 보호합니다.
    • Linux 기반 호스트에 대한 액세스의 경우 배스천 호스트 22|22
    • Windows의 경우 원격 데스크톱(RDP)용 배스천 호스트 443|3389
  • 문제 해결 시 다음을 수행합니다.
    • 리소스를 사용할 수 있는지 확인합니다.
    • 차단하는 NACL 또는 SG가 있는지 확인합니다.
    • 호스트 또는 서비스에 대한 라우팅이 올바른지 확인합니다.

knowledge check

  1. 다음 중 프라이빗 서브넷을 인터넷에 연결하도록 해주는 Virtual Private Cloud(VPC) 연결 옵션은 무엇입니까?

    • VPC 게이트웨이 엔드포인트

    • 인터넷 게이트웨이

    • Network Address Translation(NAT) 게이트웨이

    • VPC 피어링

  2. 네트워크 엔지니어가 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 퍼블릭 리소스를 핑하는 데 문제를 겪고 있습니다. 다음 중 문제의 원인으로 가능한 것은 무엇입니까?

    • 보안 그룹이 모든 인바운드 트래픽을 허용하고 있습니다.

    • Virtual Private Cloud(VPC)에 인터넷 게이트웨이가 없습니다.

    • 네트워크 액세스 제어 목록(네트워크 ACL)이 모든 인바운드 및 아운바운드 트래픽을 허용하고 있습니다.

    • 인스턴스에 정적 퍼블릭 IP 주소가 있습니다.

  3. 네트워크 엔지니어가 인스턴스를 중지하되 동일한 정적 퍼블릭 IP 주소를 유지하려고 합니다. 다음 중 엔지니어가 인스턴스에 할당해야 할 IP 주소 유형은 무엇입니까?

    • 엔지니어는 IP 주소를 할당할 필요가 없습니다. Virtual Private Cloud(VPC)가 정적 IP 주소를 자동으로 할당합니다.

    • 예약 IP 주소

    • 퍼블릭 IP 주소

    • 탄력적 IP 주소

  4. 다음 중 보안 그룹에 대한 설명으로 옳은 것은 무엇입니까? (2개 선택)

    • 보안 그룹은 여러 인스턴스에 적용할 수 있습니다.

    • 보안 그룹 연결은 인스턴스 생성 후 추가하거나 수정할 수 있습니다.

    • 보안 그룹은 서브넷 수준에서 적용됩니다.

    • 보안 그룹에 여러 인스턴스를 할당할 수 있습니다.

    • 사용자는 보안 그룹에서 수신 트래픽에 우선순위를 할당할 수 있습니다.

  5. 다음 중 하나의 가용 영역에서만 존재할 수 있는 Virtual Private Cloud(VPC)의 논리적 네트워크 세그먼트는 무엇입니까?

    • 보안 그룹
    • 가상 프라이빗 게이트웨이
    • 인터넷 게이트웨이
    • 서브넷

서브넷은 Zone에 속하고 VPC는 리전에 속합니다.

댓글남기기

참고