[4주차] CLOUD LOCK - 클라우드 보안

 

AWS 클라우드 서비스 인프라 구축 이해와 해킹, 보안 강의 | 보안프로젝트 - 인프런

 

[섹션 3]  AWS 클라우드 VPC 네트워크 이해와 인프라 구성

1. VPC (Virtual Private Cloud)

: 클라우드 서비스 내 논리적으로 독립된 가상의 네트워크, 사용자 ip대역, 라우팅 테이블, 보안 그룹 등을 생성/수정할 수 있음

 

■ 구분

- 기본 VPC : AWS에서 미리 생성, 1개

- 사용자 VPC : 사용자가 수동으로 생성, 최대 5개

 

■ 특징

- 확장성 : vpc 자원을 생성, 수정, 삭제 가능, 편의성 제공

- 보안 : 보안그룹과 네트워크 ACL 제공

- 사용자 중심 : 관리 시각화 더할 수 있음

 

 

2. 아마존 AWS VPC 가상 네트워크 구성

사용자 VPC를 생성하고, 서브넷(Subnet)으로 퍼블릭과 프라이빗 대역을 구분

 

■ 사용자 VPC : 10.0.0.0/16

 

■ 퍼블릭 서브넷 : 10.0.0.0/24 

- 워드프레스, 오픈웹서버 배치

- 인터넷게이트웨이와 가상라우터를 통해 인터넷 연결

 

■ 프라이빗 서브넷 1 : 10.0.1.0/24 

- 데이터베이스, 로봇서버 등 중요한 서버들 배치

■ 프라이빗 서브넷 2 : 10.0.2.0/24 

-오피스 구간, 내부 개발자 PC, 내부 점검 PC 등

 

- 내부(프라이빗)로는 인터넷이 직접적으로 연결될 수 없기 때문에 NAT게이트웨이(퍼블릭대역에 위치)를 통해 외부 IP와 접속

 

■  Amazon CloudWatch, CloudTail : 모니터링 서비스, VPC 망 안에 포함

■  S3 저장소 : 사용 방식에 따라 VPC 외부 또는 퍼블릭 대역에 위치

 

 

3. 아마존 AWS VPC 가상 퍼블릭, 프라이빗 네트워크 실습

■ 퍼블릭

1. VPC 생성

2. 퍼블릭 서브넷 생성

3. 인터넷게이트웨이 생성

4. 인터넷게이트웨이를 VPC에 연결

5. 라우팅 테이블 생성 및 편집

6. 퍼블릭 네트워크로 설정하여 인스턴스 생성

7. 인스턴스에 apache2 설치하여 퍼블릭 IP로 접속되는 것을 확인

 

■ 프라이빗

1. 프라이빗 서브넷 생성

2. NAT 게이트웨이 생성

3. 라우팅 테이블 생성 및 편집

4. 프라이빗 네트워크로 설정하여 인스턴스 생성

 

 

4. 보안그룹과 네트워크 ACL 이해

■ 보안 그룹 

- 인스턴스 레벨의 접근 제어를 수행, 각각의 서버에 대한 방화벽이라고 이해

- Stateful 접근 제어 동작 : 이전 상태 정보를 기억, 인바운드로 들어오는 트래픽이 허용되면 아웃바운드로 돌아갈 때 규칙 상관 없이 허용. 허용할 것만 고려하면 됨.

 

■ 네트워크 ACL

- 서브넷 레벨의 접근 제어를 수행, 네트워크에 관련된 방화벽이라고 이해

- Stateless 접근 제어 동작 : 아웃바운드 규칙을 허용할지 거부할지 결정

- 새로 만들 때는 모두 거부하는 것으로 설정되어 있어 따로 설정을 해줘야 통신이 가능함

 

* 둘을 같이 사용하기보다 주로 보안그룹만 사용. 

 

 

5. 보안그룹과 네트워크 ACL 실습, 차이점 이해

■ 보안그룹

- 인스턴스에 접근할 수 있는 ip 명확히 지정, 적용할 인스턴스 선택 후 보안 그룹 할당

 

■ 네트워크 ACL

- 기본적으로는 인, 아웃바운드 모두 거부로 설정되어있음, 서브넷을 수정해서 적용할 대역 결정(ex. 인바운드 80포트 허용)

 

 

6. 비용결재보드에서 상세내역 확인

- NAT 게이트웨이에서 비용이 발생할 수 있으니 실습 후 삭제 필요

- WAF의 경우 지역 확인 필요

 

 

7. AWS 애플리케이션 로드밸런싱

: 인스턴스의 상태를 확인하고 데이터를 분산하여 전달하는 네트워크 역할 수행, 보안 가용성을 최대한 유지

 

■ 로드밸런싱 특징

- 고가용성

- 주기적 상태 확인

- 보안 기능 : 보안 그룹 적용

- 4계층/7계층(애플리케이션) 로드밸런싱

- 운영 모니터링 

 

■ 실습

1. 2개의 서브넷 생성

2. 인스턴스 2개 생성하고 각각 서브넷에 연결 및 아파치 페이지 생성

3. 애플리케이션 로드 밸런서(ALB) 생성

4. ALB 도메인에 연결하고 새로고침하며 2개의 페이지가 번갈아가며 뜨는 것을 확인

 

8. AWS Auto Scaling

- 갑자기 많은 트래픽이 발생했을 때, EC2 기반의 서버를 여러 대의 서버로 서비스를 하여, 서비스의 가용성을 유지

- 트래픽의 용량 조건에 따라 서버의 수를 자동으로 늘리고 줄이는 자동 조정 (미리 저장된 이미지를 활용하여 서버를 새로 생성하는 방식