AWS 관리형 Microsoft AD 네트워크 보안 구성 강화
AWS Managed Microsoft AD 디렉터리에 대해 프로비저닝된 AWS 보안 그룹은 AWS Managed Microsoft AD 디렉터리에 대해 알려진 모든 사용 사례를 지원하는 데 필요한 최소 인바운드 네트워크 포트로 구성됩니다. 프로비저닝된 AWS 보안 그룹에 대한 자세한 내용은 AWS 관리형 Microsoft AD로 생성되는 항목 단원을 참조하세요.
AWS 관리형 Microsoft AD 디렉터리의 네트워크 보안을 더욱 강화하려면 다음과 같은 일반적인 시나리오에 따라 AWS 보안 그룹을 수정할 수 있습니다.
고객 도메인 컨트롤러 CIDR -이 CIDR 블록은 도메인 온프레미스 도메인 컨트롤러가 있는 곳입니다.
고객 클라이언트 CIDR -이 CIDR 블록은 컴퓨터 또는 사용자와 같은 클라이언트가 사용자의 AWS Managed Microsoft AD에 인증하는 곳입니다. AWS Managed Microsoft AD 도메인 컨트롤러도 이 CIDR 블록에 있습니다.
시나리오
AWS 애플리케이션 전용 지원
모든 사용자 계정은 다음과 같이 지원되는 AWS 애플리케이션과 함께 사용할 수 있도록 사용자의 AWS Managed Microsoft AD에서만 프로비저닝됩니다.
-
Amazon Chime
-
Amazon Connect
-
Quick Suite
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
AWS Client VPN
-
AWS Management 콘솔
다음 AWS 보안 그룹 구성을 사용하여 AWS Managed Microsoft AD 도메인 컨트롤러에 대한 필수적이 아닌 모든 트래픽을 차단할 수 있습니다.
참고
-
다음은 이 AWS 보안 그룹 구성과 호환되지 않습니다.
-
Amazon EC2 인스턴스
-
Amazon FSx
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
WorkSpaces
-
Active Directory 신뢰
-
도메인에 조인된 클라이언트 또는 서버
-
인바운드 규칙:
없음.
아웃바운드 규칙:
없음.
신뢰 지원만 있는 AWS 애플리케이션
모든 사용자 계정은 다음과 같이 지원되는 AWS 애플리케이션에서 사용할 수 있도록 사용자의 AWS Managed Microsoft AD 또는 신뢰할 수 있는 Active Directory에서 프로비저닝됩니다.
-
Amazon Chime
-
Amazon Connect
-
Quick Suite
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
Amazon WorkSpaces
-
AWS Client VPN
-
AWS Management 콘솔
프로비저닝된 AWS 보안 그룹 구성을 수정하여 AWS Managed Microsoft AD 도메인 컨트롤러에 대한 필수적이 아닌 모든 트래픽을 차단할 수 있습니다.
참고
-
다음은 이 AWS 보안 그룹 구성과 호환되지 않습니다.
-
Amazon EC2 인스턴스
-
Amazon FSx
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
WorkSpaces
-
Active Directory 신뢰
-
도메인에 조인된 클라이언트 또는 서버
-
-
이 구성을 사용하려면 ‘고객 도메인 컨트롤러 CIDR’ 네트워크가 안전한지 확인해야 합니다.
-
TCP 445는 신뢰 생성에만 사용되며 신뢰가 설정된 후에 제거할 수 있습니다.
-
TCP 636은 LDAP over SSL이 사용 중인 경우에만 필요합니다.
인바운드 규칙:
| 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | Active Directory 사용 |
|---|---|---|---|---|
| TCP 및 UDP | 53 | 고객 도메인 컨트롤러 CIDR | DNS | 사용자 및 컴퓨터 인증, 이름 확인, 신뢰 |
| TCP 및 UDP | 88 | 고객 도메인 컨트롤러 CIDR | Kerberos | 사용자 및 컴퓨터 인증, 포리스트 수준 신뢰 |
| TCP 및 UDP | 389 | 고객 도메인 컨트롤러 CIDR | LDAP | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP 및 UDP | 464 | 고객 도메인 컨트롤러 CIDR | Kerberos 암호 변경/설정 | 복제, 사용자 및 컴퓨터 인증, 신뢰 |
| TCP | 445 | 고객 도메인 컨트롤러 CIDR | SMB/CIFS | 복제, 사용자 및 컴퓨터 인증, 그룹 정책 신뢰 |
| TCP | 135 | 고객 도메인 컨트롤러 CIDR | 복제 | RPC, EPM |
| TCP | 636 | 고객 도메인 컨트롤러 CIDR | LDAP SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 49,152~65,535 | 고객 도메인 컨트롤러 CIDR | RPC | 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰 |
| TCP | 3268 - 3269 | 고객 도메인 컨트롤러 CIDR | LDAP GC 및 LDAP GC SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| UDP | 123 | 고객 도메인 컨트롤러 CIDR | Windows 시간 | Windows 시간, 신뢰 |
아웃바운드 규칙:
| 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | Active Directory 사용 |
|---|---|---|---|---|
| 모두 | 모두 | 고객 도메인 컨트롤러 CIDR | 모든 트래픽 |
AWS 애플리케이션 및 네이티브 Active Directory 워크로드 지원
사용자 계정은 다음과 같이 지원되는 AWS 애플리케이션과 함께 사용할 수 있도록 사용자의 AWS Managed Microsoft AD에서만 프로비저닝됩니다.
-
Amazon Chime
-
Amazon Connect
-
Amazon EC2 인스턴스
-
Amazon FSx
-
Quick Suite
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
AWS Management 콘솔
프로비저닝된 AWS 보안 그룹 구성을 수정하여 AWS Managed Microsoft AD 도메인 컨트롤러에 대한 필수적이 아닌 모든 트래픽을 차단할 수 있습니다.
참고
-
Active Directory 신뢰는 사용자의 AWS Managed Microsoft AD 디렉터리와 고객 도메인 컨트롤러 CIDR 간에 생성 및 유지 관리할 수 없습니다.
-
‘클라이언트 CIDR’ 네트워크가 안전한지 확인해야 합니다.
-
TCP 636은 LDAP over SSL이 사용 중인 경우에만 필요합니다.
-
이 구성에서 엔터프라이즈 CA를 사용하려면 아웃바운드 규칙 ‘TCP, 443, CA CIDR’을 생성해야 합니다.
인바운드 규칙:
| 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | Active Directory 사용 |
|---|---|---|---|---|
| TCP 및 UDP | 53 | 고객 클라이언트 CIDR | DNS | 사용자 및 컴퓨터 인증, 이름 확인, 신뢰 |
| TCP 및 UDP | 88 | 고객 클라이언트 CIDR | Kerberos | 사용자 및 컴퓨터 인증, 포리스트 수준 신뢰 |
| TCP 및 UDP | 389 | 고객 클라이언트 CIDR | LDAP | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP 및 UDP | 445 | 고객 클라이언트 CIDR | SMB/CIFS | 복제, 사용자 및 컴퓨터 인증, 그룹 정책 신뢰 |
| TCP 및 UDP | 464 | 고객 클라이언트 CIDR | Kerberos 암호 변경/설정 | 복제, 사용자 및 컴퓨터 인증, 신뢰 |
| TCP | 135 | 고객 클라이언트 CIDR | 복제 | RPC, EPM |
| TCP | 636 | 고객 클라이언트 CIDR | LDAP SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 49,152~65,535 | 고객 클라이언트 CIDR | RPC | 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰 |
| TCP | 3268 - 3269 | 고객 클라이언트 CIDR | LDAP GC 및 LDAP GC SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 9389 | 고객 클라이언트 CIDR | SOAP | AD DS 웹 서비스 |
| UDP | 123 | 고객 클라이언트 CIDR | Windows 시간 | Windows 시간, 신뢰 |
| UDP | 138 | 고객 클라이언트 CIDR | DFSN 및 NetLogon | DFS, 그룹 정책 |
아웃바운드 규칙:
없음.
신뢰 지원과 함께 AWS 애플리케이션 및 네이티브 Active Directory 워크로드 지원
모든 사용자 계정은 다음과 같이 지원되는 AWS 애플리케이션에서 사용할 수 있도록 사용자의 AWS Managed Microsoft AD 또는 신뢰할 수 있는 Active Directory에서 프로비저닝됩니다.
-
Amazon Chime
-
Amazon Connect
-
Amazon EC2 인스턴스
-
Amazon FSx
-
Quick Suite
-
Amazon RDS for MySQL
-
Amazon RDS for Oracle
-
Amazon RDS for PostgreSQL
-
Amazon RDS for SQL Server
-
AWS IAM Identity Center
-
WorkDocs
-
Amazon WorkMail
-
WorkSpaces
-
AWS Client VPN
-
AWS Management 콘솔
프로비저닝된 AWS 보안 그룹 구성을 수정하여 AWS Managed Microsoft AD 도메인 컨트롤러에 대한 필수적이 아닌 모든 트래픽을 차단할 수 있습니다.
참고
-
이를 위해서는 ‘고객 도메인 컨트롤러 CIDR’ 및 ’고객 클라이언트 CIDR’ 네트워크가 안전한지 확인해야 합니다.
-
‘고객 도메인 컨트롤러 CIDR’이 있는 TCP 445는 신뢰 생성에만 사용되며 신뢰가 설정된 후에는 제거할 수 있습니다.
-
‘고객 클라이언트 CIDR’이 있는 TCP 445는 그룹 정책 처리에 필요하므로 열어 두어야 합니다.
-
TCP 636은 LDAP over SSL이 사용 중인 경우에만 필요합니다.
-
이 구성에서 엔터프라이즈 CA를 사용하려면 아웃바운드 규칙 ‘TCP, 443, CA CIDR’을 생성해야 합니다.
인바운드 규칙:
| 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | Active Directory 사용 |
|---|---|---|---|---|
| TCP 및 UDP | 53 | 고객 도메인 컨트롤러 CIDR | DNS | 사용자 및 컴퓨터 인증, 이름 확인, 신뢰 |
| TCP 및 UDP | 88 | 고객 도메인 컨트롤러 CIDR | Kerberos | 사용자 및 컴퓨터 인증, 포리스트 수준 신뢰 |
| TCP 및 UDP | 389 | 고객 도메인 컨트롤러 CIDR | LDAP | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP 및 UDP | 464 | 고객 도메인 컨트롤러 CIDR | Kerberos 암호 변경/설정 | 복제, 사용자 및 컴퓨터 인증, 신뢰 |
| TCP | 445 | 고객 도메인 컨트롤러 CIDR | SMB/CIFS | 복제, 사용자 및 컴퓨터 인증, 그룹 정책 신뢰 |
| TCP | 135 | 고객 도메인 컨트롤러 CIDR | 복제 | RPC, EPM |
| TCP | 636 | 고객 도메인 컨트롤러 CIDR | LDAP SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 49,152~65,535 | 고객 도메인 컨트롤러 CIDR | RPC | 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰 |
| TCP | 3268 - 3269 | 고객 도메인 컨트롤러 CIDR | LDAP GC 및 LDAP GC SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| UDP | 123 | 고객 도메인 컨트롤러 CIDR | Windows 시간 | Windows 시간, 신뢰 |
| TCP 및 UDP | 53 | 고객 도메인 컨트롤러 CIDR | DNS | 사용자 및 컴퓨터 인증, 이름 확인, 신뢰 |
| TCP 및 UDP | 88 | 고객 도메인 컨트롤러 CIDR | Kerberos | 사용자 및 컴퓨터 인증, 포리스트 수준 신뢰 |
| TCP 및 UDP | 389 | 고객 도메인 컨트롤러 CIDR | LDAP | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP 및 UDP | 445 | 고객 도메인 컨트롤러 CIDR | SMB/CIFS | 복제, 사용자 및 컴퓨터 인증, 그룹 정책 신뢰 |
| TCP 및 UDP | 464 | 고객 도메인 컨트롤러 CIDR | Kerberos 암호 변경/설정 | 복제, 사용자 및 컴퓨터 인증, 신뢰 |
| TCP | 135 | 고객 도메인 컨트롤러 CIDR | 복제 | RPC, EPM |
| TCP | 636 | 고객 도메인 컨트롤러 CIDR | LDAP SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 49,152~65,535 | 고객 도메인 컨트롤러 CIDR | RPC | 복제, 사용자 및 컴퓨터 인증, 그룹 정책, 신뢰 |
| TCP | 3268 - 3269 | 고객 도메인 컨트롤러 CIDR | LDAP GC 및 LDAP GC SSL | 디렉터리, 복제, 사용자 및 컴퓨터 인증 그룹 정책, 신뢰 |
| TCP | 9389 | 고객 도메인 컨트롤러 CIDR | SOAP | AD DS 웹 서비스 |
| UDP | 123 | 고객 도메인 컨트롤러 CIDR | Windows 시간 | Windows 시간, 신뢰 |
| UDP | 138 | 고객 도메인 컨트롤러 CIDR | DFSN 및 NetLogon | DFS, 그룹 정책 |
아웃바운드 규칙:
| 프로토콜 | 포트 범위 | 소스 | 트래픽 유형 | Active Directory 사용 |
|---|---|---|---|---|
| 모두 | 모두 | 고객 도메인 컨트롤러 CIDR | 모든 트래픽 |
