티스토리 뷰

AWS

[AWS]NACL,보안그룹과 그외 보안자료

현오쓰 2019. 2. 10. 15:59

 AWS 보안



AWS를 접하게 되면 보안적인 요소에 생각이 든다. AWS는 기본적으로 IP Spoofing과 같은 Layer2 공격 차단해주고 외부와의 모든 라우팅과 연결을 통제 및 소유하지 않은 EC2에 대한 스니핑이 불가능하다.


기존 데이터 센터(On-premise) 같은 경우엔 Network 앞단에 방화벽 장비를 두고 데이터센터로 유입되는 트래픽을 제어 해야한다. 그럼 고가의 방화벽 장비를 추가적으로 설치하거나 장비에 ACL을 직접 설정해야 하는 부담이 있다. AWS에서는 NACL보안그룹을 제공해주는데 각각 개념은 아래와 같다.


NACL

외부간 통신을 담당하는 보안기능 이며, 서브넷 단위로 트래픽을 제어해준다.

White list 이여서 특정 IP 차단이 가능하며, stateless 이므로 in/out 에대한 포트가 정확히 명시되어야한다.

즉, 80을 in으로 받았다면 out으로 80을 열어줘야한다는것! NACL은 특정 포트를 막는거에 중점이므로 나머지 포트는 개방 시켜야 한다.


보안그룹

내부간 통신을 담당하는 보안기능 이며, EC2 단위로 트래픽을 제어해준다.

Black List이며 statful 이므로 in에대한 트래픽 포트만 명시해줘도 통신이 된다.



AWS 전반적인 트래픽 로깅 방법

VPC전반적인 트래픽 흐름은 Flow Log를 통해 로깅이 가능하므로 따로 설정을 해줘야한다.(Cloud Watch랑 연동 시켜 특정 트래픽 접근시도시 알람설정도 가능함) 


기타

보안을 검색하면서 새롭게 안사실, AWS는 기본적으로 디도스 공격도 방어해준다. VPC설계시 적절하게 3티어 구조로 서브넷팅을 잘하면 된다. 아래 사진은 잘 설계된 VPC 디자인 사례이다.



[그림 1] AWS 모범적인 구축사례



 각 퍼블릭과 프라이빗의 대한 개념은 전 포스팅을 참고하자 ^^!




마무리

AWS를 사용시 7계층 보안에만 집중해주면 될것같다. 거기에 대한 서비스는 WAF가 있다.

WAF는 SQL 인젝션과 같은 7계층 취약점을 보안해준다. 하지만 WAF를 제대로 사용하기 위해선 Lambda를 사용하면 더 좋다... 수동으로 입력할필요가 없으므로 ㅠㅠ... Lambda에 아직 익숙치 않기에 WAF적용은 다음에 하도록 해본다.. 언젠간...


'AWS' 카테고리의 다른 글

ELB(Elastic Load Balancing) 개념  (0) 2019.03.15
[AWS]EBS 과금 막기  (0) 2019.03.09
AWS Lamda 소개  (0) 2019.01.12
AWS VPC & Subnet [3]  (0) 2019.01.12
AWS VPC & Subnet [2]  (0) 2019.01.06