클라우드 보안 [다섯 번째 정리]

안녕하세요 !

 

클라우드 보안 다섯 번째 정리를 시작하도록 하겠습니다. 

 

 

클라우드 보안

 

* VPN 

 

VPN ( Virtual Private Network ) 은 인터넷과 같은 덜 안전한 네트워크 상에서 안전하고 암호화된 연결을 생성하는 기술입니다. VPN 은 주로 민감한 데이터를 보호하고 개인 정보 보호를 유지하며 온라인 브라우징을 할 때 익명성을 보장하는데 사용됩니다.

 

VPN 작동하는 방식은 다음과 같습니다. 

 

1. 암호화 : VPN은 데이터가 장치를 떠나기 전에 암호화 하고 도착지에 도달한 후에 암호 해독합니다. 이것을 통해 다른 사람이 데이터를 가로채도 암호화 키 없이는 데이터를 이해할 수 없게 됩니다. 

 

2. 안전한 터널링 : VPN 서버에 연결하면 인터넷 트래픽이 안전한 터널을 통해 VPN 서버에 도달하기 전에 라우팅 됩니다. 이것을 통해 동일한 네트워크의 다른 사용자가 데이터를 가로채지 못하도록 방지합니다. 

 

3. IP 주소 숨김 : VPN은 실제 IP 주소를 숨기고 VPN 서버의 위치를 기반으로 새로운 IP 주소를 할당합니다. 이것을 통해 웹 사이트와 온라인 서비스가 실제 위치를 추적하고 식별하는 것이 어려워집니다. 

 

5. 접근 제어 : VPN 은 지리적 제한이나 검열을 우회하여 인터넷에 다른 위치에서 액세스 하는 것처럼 보이도록 합니다. 이것을 통해 사용자는 자신의 국가에서 이용할 수 없는 지역 제한 콘텐츠와 서비스에 액세스 할 수 있습니다. 

 

5. 개인 정보 보호 : 인터넷 트래픽을 암호화 하고 IP 주소를 숨김으로서 VPN 온라인에서 개인 정보를 보호합니다. 이것을 통해 인터넷 서비스 제공 업체, 정부 기관 및 기타 제 3자가 온라인 활동을 모니터링 하는 것을 방지합니다. 

 

전반적으로 VPN은 공공 와이파이 네트워크를 사용하거나 민감한 정보에 액세스 할 때 개인 정보 보호와 보안을 유지하는 데 유용한 도구입니다. 그러나 신뢰할 수 있는 VPN 공급업체를 선택하고 VPN 은 개인 정보 보호의 보안을 높여주지만 완벽하지 않으며 취약점이 있을 수 있음을 이해하는 것이 중요합니다. 

 

- AWS 클라우드와 온프레미스 사이에 보안을 연결한다. 

 

 

* AWS 다이렉트 커넥트 

 

AWS 클라우드와 온프레미스 네트워크 간에 안전하고 저지연의 전용 연결을 설정하는 서비스 입니다. 이 서비스를 사용하면 인터넷을 경유하지 않고 직접 전용 회선을 통햇 AWS 의 리소스에 접속할 수 있습니다. 

 

1. 저지연 연결 : AWS 다이렉트 커넥트는 인터넷을 경유하지 않고 전용 연결을 통해 AWS 에 접속하기 때문에 낮은 지연 시간과 더 안정적인 성능을 제공합니다. 

 

2. 높은 대역폭 : 다이렉트 커넥트 연결은 1Gbps 또는 10Gbps 의 대역폭을 제공하며, 대량의 데이터 전송이나 대규모 네트워크 트래픽을 처리할 수 있습니다. 

 

3. 보안 : 인터넷을 경유하지 않고 전용 연결을 통해 AWS 에 접속하기 때문에 데이터의 보안이 강화됩니다. 

 

4. 비용 절감 : 대규모 데이터 전송 또는 많은 양의 트래픽을 처리할 때 인터넷을 통한 통신 비용보다 저렴할 수 있습니다. 

 

5. 하이브리드 클라우드 연결 : 다이렉트 커넥트를 사용하여 온프레미스 데이터 센터와 AWS 클라우드를 연결하면 하이브리드 클라우드 아키텍처를 구축할 수 있습니다. 

 

6. 다양한 연결 옵션 : AWS 다이렉트 커넥트는 고객이 필요에 따라 여러 연결 옵션을 제공합니다. 

 

결론은 AWS 다이렉트 커넥트를 사용하면 클라우드와 온프레미스 환경 간의 데이터 이동을 안전하고 빠르게 처리할 수 있으며, 하이브리드 IT 환경에서 효율성과 보안성을 높일 수 있습니다. 

 

- AWS 클라우드와 온프레미스 사이에 네트워크 전용선 연결한다. 

 

- IPSec 프로토콜이 암호화 터널링을 이어준다. 

 

- AWS 서비스 사내 LAN 이나 다른 네트워크로 AWS VPN 으로 설정한다. 

 

- 다이렉트 커넥트 -> 물리적인 전용선을 깔아준다. 

 

* IPSec 

 

- IPSec 프로토콜은 네트워크 통신에서 사용되는 암호화 프로토콜 중 하나 입니다. IPSec 는 인터넷 프로토콜 (IP) 기반의 네트워크에서 데이터의 기밀성, 무결성 및 인증을 보장하기 위해 설계 되었습니다.

 

* ALB 

 

애플리케이션 로드 밸런서의 ELB 서비스의 일부로써 웹 어플리케이션과 마이크로서비스 아키텍처를 위한 로드 밸런싱 솔루션 입니다. 웹 어플리케이션과 마이크로서비스 아키텍처를 위한 로드 밸런싱 솔루션 입니다. 이것은 트래픽을 여러 EC2 인스턴스, 컨테이너, IP 주소로 분산시키는데 사용됩니다. 

 

ALB 주요 특징은 다음과 같습니다. 

 

- L7 로드 밸런싱 : ALB 는 OSI 7계층 중의 응용 계층에서 작동하며 HTTP 및 HTTPS 트래픽을 기반으로 분산합니다. 이것은 트래픽을 요청의 콘텐츠와 컨텍스트에 따라서 라우팅 할 수 있게 합니다. 

 

- 정적 및 동적 라우팅 : ALB 는 정적 및 동적 라우팅 기능을 제공하여 특정 요청을 특정한 대상 그룹으로 라우팅 하고 관련된 서비스로 트래픽을 전달합니다. 

 

3. HTTP/2 지원 : HTTP/2 프로토콜을 지원하여 더 빠르고 효율적인 통신을 가능하게 합니다. 

 

4. SSL 종료 : ALB 는 SSL/TLS 암호화를 종료하고 클라이언트와의 연결을 암호 해독한 후에 백엔드 서버와의 연결을 암호화 하는데 사용될 수 있습니다. 

 

- 웹 소켓 및 HHTP/2 지원 : ALB 는 웹 소켓 및 HTTP/2 와 같은 최신 웹 프로토콜을 지원하여 현대적인 웹 애플리케이션을 호스팅하는데 적합하다. 

 

- ALB를 생성하면 내부적으로 인스턴스 형태로 구성한다. 

 

- ALB 는 인스턴스이니까 보안 그룹 설정을 할 수 있다. 

 

- ALB 그룹으로 연동한다. ELB로 상태 확인한다. 

 

 

* VPC 다이렉트 커넥트 

 

VPC 다이렉트 커넥트의 서비스 중 하나로 AWS 클라우드와 온프레미스 네트워크 간에 안전하고 저지연의 전용 연결을 설정하는 서비스 입니다. 이 서비스를 사용하면 고객은 전용 회선을 통해 AWS 의 가상 사설 클라우드와 직접 연결할 수 있습니다. 이것을 통해 인터넷을 경유하지 않고 직접 전용 연결을 통해 AWS 리소스에 접속할 수 있으므로 더 안정적이고 예측 가능한 성능을 제공합니다. 

 

1. 안정성 : VPC 다이렉트 커넥트는 전용 회선을 통해 AWS 와 직접 연결되므로 인터넷을 통한 연결보다 더 안정적인 성능을 제공합니다. 

 

2. 저지연 연결 : 직접 연결을 통해 지연 시간을 최소화 하여 더 빠른 데이터 전송을 지원합니다. 

 

3. 고대역폭 : VPC 다이렉트 커넥트 연결은 1Gbps 또는 10Gbps 의 대역폭을 제공하며, 대규모 데이터 전송 또는 대량의 트래픽을 처리 할 수 있습니다. 

 

4. 보안 : 전용 연결을 통해 데이터의 보안이 강화되며, 인터넷을 통한 데이터 전송보다 더 안전합니다. 

 

5.  비용 효율성  : 일부 경우에는 인터넷을 통한 데이터 전송보다 비용이 저렴할 수 있습니다. 

 

VPC 다이렉트 커넥트를 사용하면 온프레미스 데이터 센터와 AWS 클라우드 간의 연결을 쉽게 설정할 수 있으며, 하이브리드 IT 환경에서 더욱 효율적으로 리소스를 관리 할 수 있습니다. 

 

 

* ENI 

 

ENI는 Elastic Network Interface의 약어로 AWS 에서 제공하는 네트워크 인터페이스 입니다. ENI 가상 네트워크 카드로써 EC2 인스턴스와 VPC 간의 네트워크 통신을 관리합니다. 

 

1. IP 주소 할당 : ENI 는 EC2 인스턴스에 하나 이상의 고정 또는 동적으로 할당된 IP 주소를 제공합니다. 이것을 통해 EC2 인스턴스가 다양한 네트워크 서비스에 접근할 수 있습니다.

 

2. 보안 그룹 연결 : ENI 는 EC2 인스턴스에 보안 그룹을 연결하여 인바운드 및 아웃바운드 트래픽에 대한 보안 정책을 적용할 수 있습니다. 

 

3. 서브넷 연결 : ENI 는 특정 VPC 내의 서브넷에 연결됩니다. 이것을 통해 ENI 는 해당 서브넷의 IP 주소 범위 내에서 작동하며, 서브넷의 네트워크 구성 요소와 통합됩니다. 

 

4. 다중 ENI 지원 : EC2 인스턴스는 필요에 따라서 여러 개의 ENI 를 연결할 수 있습니다. 이것을 통해 다양한 네트워크 설정과 시나리오를 구현할 수 있습니다. 

 

5. 네트워크 가상화 : ENI 는 EC2 인스턴스와 VPC 간의 네트워크 통신을 관리하므로, 다양한 네트워크 기능과 서비스를 활용할 수 있습니다. 

 

ENI 는 다양한 네트워크 구성과 요구 사항을 지원하여 AWS 클라우드 내에서 유연하고 안전한 네트워크 환경을 구축하는데 사용됩니다. 

 

* VPC 피어링 

 

VPC 피어링은 AWS에서 제공하는 서비스 중 하나로, 동일한 리전 내에 있는 2개의 VPC 간에 네트워크 연결을 설정하는 기능입니다. 이것을 통해 서로 다른 VPC 간에 안전하고 효율적인 통신이 가능해집니다. 

 

1. 동일한 리전 내에서의 통신 : VPC 피어링은 동일한 AWS 리전 내의 2개의 VPC 간에만 가능합니다. 서로 다른 리전 간에는 직접적인 VPC 피어링을 설정할 수 없습니다. 

 

2. 관리적 편의성 : VPC 피어링을 통해 서로 다른 VPC 간에 네트워크 연결을 설정하면 트래픽을 라우팅하거나 보안 그룹 설정을 별로도 관리할 필요가 없습니다. 

 

3. 단순한 설정 : VPC 피어링 설정하려면 각 VPC의 소유자가 상호적인 요청을 보내고 수락하는 프로세스를 완료해야 합니다. 

 

4. 보안 : VPC 피어링은 AWS 내부 네트워크를 통해 직접 연결되므로 인터넷을 경유하지 않고 안전하게 통신할 수 있습니다. 그러나 피어링된 VPC 간에는 서로 다른 보안 그룹을 사용하여 보안을 유지할 수 있습니다. 

 

5. 트래픽 라우팅 : VPC 피어링을 통해 연결된 VPC 간에는 피어링된 VPC 의 IP 주소로 직접 통신할 수 있습니다. 이것을 통해 서로 다른 VPC 간에 효율적인 데이터 교환이 가능해집니다. 

 

- VPC 피어링을 이용하면 인터넷 게이트를 거치지 않고 전용의 게이트웨이를 별도로 만듭니다. 즉, 프라이빗 하게 통신이 가능하다. 

 

- VPC 피어링은 전이적 피어링을 지원하지 않습니다. 해결 방법은  VPC 피어링을 별도로 설정해야 통신이 됩니다. 

 

여기서 VPC 피어링 해야 할 개수가 많아지는데 이것을 해결하려고 나온 것이 Transit Gateway 입니다. 

 

* Transit Gateway

 

Transit Gateway 는 AWS 에서 제공하는 서비스 중 하나로 다양한 VPC, VPC 및 다른 네트워크 연결을 중앙 집중식으로 관리하는 라우팅 허브입니다. 이것을 통해 여러 VPC 및 온프레미스 네트워크 간의 네트워크 통신을 간편하게 구성하고 관리할 수 있습니다. 

 

1. 중앙 집중화된 네트워크 허브 : Transit Gateway 는 여러 VPC 와 VPN 연결을 중앙 집중화된 하나의 허브로 연결하여 각각의 네트워크 간의 통신을 관리합니다. 이것을 통해 네트워크 구성의 복잡성을 관리를 간편하게 합니다.  

 

2. 스케일링 : Transit Gateway 는 대규모 네트워크 아키텍처를 지원하여 수백 개의 VPC 및 연결을 처리할 수 있습니다. 또한, 자동으로 확장되어 트래픽 증가에 대응할 수 있습니다. 

 

3.다양한 연결 옵션 : Transit Gateway 를 사용하면 VPC, VPN, 다이렉트 커넥트 등 다양한 연결 옵션을 통합하여 하나의 중앙 집중화된 네트워크 허브로 관리할 수 있습니다. 

 

4. 보안 : Transit Gateway 는 네트워크 트래픽을 안전하게 라우팅하며, VPC 간에는 서로 다른 보안 그룹을 사용하여 보안을 유지할 수 있습니다. 

 

5. 트래픽 관리 : Transit Gateway 는 네트워크 트래픽을 효율적으로 관리하고 라우팅할 수 있으며, 트래픽 로깅 및 모니터링 기능을 제공합니다. 

 

Transit Gateway 를 사용하면 다양한 네트워크 환경을 효율적으로 관리하고 확장할 수 있으며, 복잡한 네트워크 구성을 간호화 하여서 관리 부담을 줄일 수 있습니다. 

 

한마디로 VPC 피어링을 각각 연결해야 할 것 해결해줍니다.

 

 

* VPC 엔드 포인트 

 

 AWS 의 서비스에 대한 네트워크 통신을 개선하기 위해 사용되는 기능입니다. 

서비스 중 하나로 VPC 내의 리소스가 AWS 서비스에 안전하게 연결되도록 하는 논리적인 엔터포인드 입니다. 

VPC 엔드 포인트를 사용하면 인터넷을 통하지 않고도 VPC 내의 리소스가 AWS 서비스와 통신할 수 있습니다. 

 

VPC 엔드 포인트는 2 가지 유형이 있습니다.

 

1. 게이트웨이 엔드 포인트 : S3 와 DynamoDB 와 같은 AWS 서비스에 대한 트래픽을 전송하기 위해 VPC 내에서 생성합니다. 이러한 엔드 포인트는 VPC의 라우팅 테이블에 추가되어 특정 서비스로의 트래픽이 해당 엔드 포인트로 전송됩니다. 

게이트웨이 엔드 포인트는 인터넷 게이트웨이 또는 NAT 게이트웨이를 통해 인터넷을 경유하지 않고도 서비스와 통신할 수 있도록 해줍니다. 

 

2. 인터페이스 엔드 포인트 : AWS 프라이빗 링크를 통해 제공되는 서비스에 대한 트래픽을 전송하기 위해 생성됩니다. 이러한 엔드 포인트는 VPC 내의 ENI 에 연결되며, 서비스의 엔드 포인트 IP 주소를 통해 서비스와 통신합니다. 인터페이스 엔드 포인트는 특정 서비스에 직접 연결이 되므로 보안성이 높습니다. 

 

VPC 엔드 포인트를 사용하면 VPC 내의 리소스가 AWS 서비스와 안전하게 통신할 수 있으며, 인터넷을 통한 접속 없이도 리소스 간의 트래픽을 관리할 수 있습니다. 인터넷을 통한 접속이 없어도 리소스 간의 트래픽을 관리할 수 있습니다. 이것은 보안 및 네트워크 관리 측면에서 매우 유용합니다. 

 

VPC 엔드 포인트를 사용하면  NAT 게이트웨이 거지치 않아도 프라이빗하게 지나갈 수 있습니다. 

 

 

끝