*아마존 VPC 네트워킹과 보안 책 참고해 작성했습니다.
2부 네트워크 공간과 그 경계
4. 나의 AWS 전용공간: 계정
4.1, 4.2[실습] AWS 계정 생성하기
- 여러 Tistory 참조 (잘 정리된 분들이 많음)
- MFA (이중잠금) 반드시 할것. 주변에 2차 인증을 하지 않아 비용이 과다 청구된 사례가 많
4.3 IAM
루트 사용자는 결제 및 비용 관리, 사용자 권한 복원 등 특수 상위 권한 수행용으로만 사용하고, 기타 서비스 생성과 엑세스 관리 등 우리가 생각하는 일반적인 운영은 IAM 사용자를 생성해서 사용한다.
1) IAM 작동 방식의 이해
IAM은(Identity and Access Management)는 AWS 서비스에 접근하는 보안주체(Identity) 와 인증 그리고 인증된 보안 주체의 서비스 접근(Access)권한을 관리하는 서비스이다.
AWS 계정의 모든 권한을 가진 루트 사용자는 IAM 엔터티(IAM 사용자, IAM 사용자 그룹, IAM 역할)에게 필요한 권한만을 선별적으로 부여해 서비스 접근을 허용한다. -> 여기서 권한은 JSON 형태의 정책으로 관리한다.
2) 루트의 권한 대행: IAM 사용자
Account 는 3개의 IAM 그룹과 IAM 사용자 12개를 생성했다.
- Admins: 운영상 필요한 권한 부여, 리소스 접근 가능
- Developers: 개발 관련
이와 같이 권한에 따라 그룹으로 분류할 수 있다.
3) IAM 보안 관리 방안
Superuser 는 루트 사용자를 대행할 권한을 받았을 뿐 루트 사용자와 동일한 권한은 아니다.
네트워크 정책 설정은 보안상 매우 중요하지만 정책의 구체적인 내용을 언급하기에는 양이 많다.
4) 요약
- 루트 사용자는 AWS계정의 모든 권한을 소유한다. IAM 그룹과 IAM 사용자를 만들고 필요한 권한만 선별, 부여해서 보안을 강화한다.
- 계정은 내 모든 AWS 서비스가 작동하는 공간이므로 관리에 특히 신경써야한다. 모든 사용자에게 MFA를 반드시 적용하자.
5. AWS가 만들어 놓은 네트워크 공간
5.1 클라우드의 이점
클라우드가 좋은 이유는 인프라를 배치할 물리적 공간과 그 공간에서 발생하는 노동비용에서 자유롭기 때문이다.
1) 데이터센터는 오늘도 전쟁 중
데이터센터에 시스템을 구축하려면?
데이터 센터 상면의 랙 적정 위치 선정부터, 전원 공급, UPS 안정성뿐만 아니라 항온, 항습까지 고려해야한다. 또한, 케이블링 작업, NIC 이중화 작업 등 온갖 연결과 정기점검이 필수 이다.
누군가는 클라우드 비용이 높다라고 하지만, 번거로운 운용 과정과 상면 임대료, 전원, 시스템 투자 등 인프라 전반의 운영비를 감안하면 외려 규모의 경제와 그 혜택을 누린다고 생각한다.
5.2 리전과 가용 영역
1) 리전
리전은 데이터센터의 지리적 위치이다. 전세계 곳곳에 리전이 있고, 리전마다 사용할 수 있는 서비스가 다르다.
2) 가용 영역
- 가용 영역은 1개 이상의 데이터 센터로 구성된다.
- 리전 내에 존재하는 모든 가용 영역은 서로 100km 에 위치한다.
- 가용 영역 사이에 흐르는 데이터는 암호화한다.
3) 요약
- 온프레미스의 물리적 공간과 인건비, 스트레스 비용, 위험 부담을 감안하면 클라우드가 주는 혜택은 비용 절감 그 이상이다.
- 글로벌 영역은 논리적 공간, 리전과 가용 영역은 물리적 공간이다. 리전마다 사용 가능한 서비스 종류와 범위가 일부 다르므로 아키텍처 설계 전 반드시 확인해야 한다.
- VPC는 물리적 리전 위에서 작동하며 리전에 존재하는 모든 가용 영역을 활용할 수 있다. 가용 영역이 제공하는 가용성은 DR개념까지 포함한다.
6. 우리가 만들어 나갈 네트워크 공간
6.1 VPC
VPC는 리전에 생성하는 논리적 네트워크 공간이다.
1) VPC 와 VPC 네트워킹
VPC: Virtual Private Cloud 약어
AWS 서비스가 NIF를 사용하면 자동으로 보안그룹, NACL 그리고 라우팅 테이블의 통제를 받게 된다. 이를 서비스가 VPC 네트워킹을 사용한다고 말한다.
2) VPC와 온프레미스의 비교
- 온프레미스
인터넷에 인접한 백본 스위치가 서비스 네트워크를 다수로 분리하고, 각 네트워크는 인터넷 방화벽을 전단에 배치해 불필요 외부 트래픽을 차단한다.
웹 애플리케이션 방화벽은(WAF) 인터넷 방화벽에서 통과된 트래픽을 분석해 웹 공격을 차단한다.
L3 백본 스위치는 웹 서비스 사업용으로 미리 선점한 퍼블릭 IP대역을 나눠 2개는 퍼블릭 서버 네트워크로, 나머지 1개는 프라이빗 네트워크 진입 구간으로 사용하고 있다.
- 클라우드
웹 서비스는 3-Tier 아키텍처를 사용한다. 웹 서버는 사용자에게 웹 인터페이스를 제공하며, 요청을 받은 WAS는 데이터베이스에 저장된 데이터를 호출, 가공해 다시 웹으로 전달한다.
따라서, 데이터의 중요성과 AP 인 WAS 가 보호되고, 외부에서 접근이 불가능한 private 네트워크에 구성해야 한다.
또한, L4 스위치는 LB, WAF는 보안그룹과 NACL이 그 역할을 대신하고 있다. L3 백본 스위치는 라우터가 담당하지만, AWS는 라우터 생성없이 가상의 라우팅 테이블만으로 트래픽 경로 제어가 가능하다.
3) CIDR 블록
VPC의 CIDR을 서브넷 CIDR로 나눠 사용하면 각 서브넷 CIDR 블록의 첫 4개 IP 주소, 마지막 IP 주소는 AWS에서 예약한 주소이므로 사용할 수 없다.
ex) 10.0.0.0~10.0.0.3 // 10.0.0.255
4) 퍼블릭 CIDR 전략
온프레미스는 서브넷의 CIDR 일부를 퍼블릭 IP로 사용하는 것과 달리 VPC 는 프라이빗 CIDR 과 무관하게 인스턴스가 필요할 때만 퍼블릭 IP를 할당할 수 있다.
5) VPC 네트워킹 리소스 할당량 조정
VPC는 리전마다 생성할 수 있는 최대 한도가 정해져있다. 이를 할당량이라고 한다.
AWS는 용량 관리 목적으로 VPC리소스를 제한하고 있으나 별도 요청해 증설할 수 있다.
6) 기본 VPC란?
- 대시보드
AWS는 고객이 네트워크 인터페이스만 갖추면 서비스를 즉각 개시할 수 있도록 VPC 환경을 미리 마련해두었는데 이를 기본 VPC 라고 한다.
VPC 개념과 별개로 VPC는 자신이 기본으로 사용하는 라우팅 테이블과 NACL 이 있다.
7) 기본(default)의 위험성
보안그룹을 보면 인바운드와 아웃바운드가 구분되어 있다. 문제는 기본 저장 규칙이다. VPC 생성시, 자동으로 보안그룹이 생성되는데 이때, 0.0.0.0으로 All permit으로 포트가 오픈이 된다. 따라서, 보안그룹을 주기적으로 확인 해 보안에 취약하지 않도록 해야한다.
8) VPC 생성하기
VPC를 생성하면 기본적으로 기본 네트워크 ACL 생성, 서브넷 자동 연결이 된다.
또한 보안 3요소도 생성이된다.
6.2 서브넷
1) 서브넷 = 가용 영역 ∩ VPC
서브넷은 VPC와 가용 영역에 모두 포함되는 관계이다.
2) 서브넷의 역할
서브넷을 패런트로 가진 네트워크 리소스? 네트워크 인터페이스와 NAT 게이트웨이이다. NAT G/W도 네트워크 인터페이스의 한 종류이다.
네트워크 보안의 핵심은? VPC의 모든 네트워크 인터페이스를 각 서브넷에 적절히 배분하고, 보안 통제 3요소를 세밀하게 관리하는 것.
3) 서브넷 우회 경로의 근원
4) 서브넷 생성 예제
VPC가 삭제되면 기본 서브넷도 자동 삭제된다. 서브넷이 생성후, VPC 기본 라우팅 테이블과 NACL이 자동으로 연결된다.
5) 요약
- VPC는 16 ~28 bits CIDR을 사용한다. VPC CIDR 범위 내에서 목적을 구분해 서브넷을 생성할 수 있다.
- 프로덕션(운영) 환경에서 AWS 계정을 생성하면 모든 리전의 기본 VPC는 즉시 삭제해야한다.
- 서브넷을 생성하는 순간 기본 라우팅 테이블과 기본 네트워크 ACL이 자동 연결된다. 이후 목적에 맞게 수정한다.
'cloud > AWS Cloud' 카테고리의 다른 글
[ANS]3. 컴퓨팅 서비스 활용 (0) | 2023.06.07 |
---|---|
[ANS]3. 컴퓨팅 서비스 (1) | 2023.06.05 |
[ANS]1. AWS 네트워킹 개요 (0) | 2023.06.01 |
[AWS] root 계정으로 로그인하기 (1) | 2023.05.30 |
[3Tier]8. tomcat connectors 설정 (0) | 2022.09.07 |