Managed Palo Alto 송신 방화벽 - AMS 고급 사용 설명서
트래픽 제어아키텍처네트워크 흐름허용 목록 수정사용자 지정 보안 정책CloudWatch PA 송신 대시보드장애 조치 모델확장백업 및 복원업데이트운영자 액세스기본 로그이벤트 관리지표CloudWatch Logs 통합Panorama 통합라이선싱제한 사항온보딩 요구 사항요금

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Managed Palo Alto 송신 방화벽

AMS는 다중 계정 랜딩 존 환경(퍼블릭 서비스 제외)의 모든 네트워크에 대해 인터넷 바운드 아웃바운드 트래픽을 필터링할 수 있는 Managed Palo Alto 송신 방화벽 솔루션을 제공합니다. 이 솔루션은 업계 최고의 방화벽 기술(Palo Alto VM-300)과 AMS의 인프라 관리 기능을 결합하여 규정을 준수하는 운영 환경 내에서 인프라를 배포, 모니터링, 관리, 확장 및 복원합니다. Palo Alto Networks를 포함한 타사는 방화벽에 액세스할 수 없으며 AMS 엔지니어만 관리합니다.

트래픽 제어

관리형 아웃바운드 방화벽 솔루션은 백업 및 패치와 같은 서비스의 AMS 필수 도메인과 정의된 도메인으로 구성된 도메인 허용 목록을 관리합니다. 아웃바운드 인터넷 트래픽이 방화벽으로 라우팅되고, 세션이 열리고, 트래픽이 평가되고, 허용된 도메인과 일치하면 트래픽이 대상으로 전달됩니다.

아키텍처

관리형 송신 방화벽 솔루션은 가용 영역(AZs) 수에 따라 2~3개의 방화벽이 배포되는 고가용성 모델을 따릅니다. 이 솔루션은 기본 송신 VPC의 IP 공간 일부를 활용하지만 방화벽 관리에 필요한 추가 리소스에 대해 VPC 확장(/24)도 프로비저닝합니다.

Network diagram showing Egress VPC with subnets, AMS Firewall VPC Extension, and associated resources.

네트워크 흐름

AWS network architecture diagram showing Application, Networking, and Shared Services accounts with VPCs and subnets.
Traffic key showing different types of AWS network traffic with color-coded lines.

상위 수준에서 퍼블릭 송신 트래픽 라우팅은 송신 VPC에서 인터넷으로 트래픽이 라우팅되는 방식을 제외하고 동일하게 유지됩니다.

  1. 인터넷으로 향하는 송신 트래픽은 VPC 라우팅 테이블을 통해 Transit Gateway(TGW)로 전송됩니다.

  2. TGW는 TGW 라우팅 테이블을 통해 트래픽을 송신 VPC로 라우팅합니다.

  3. VPC는 프라이빗 서브넷 라우팅 테이블을 통해 트래픽을 인터넷으로 라우팅합니다.

    1. 기본 다중 계정 랜딩 존 환경에서 인터넷 트래픽은 네트워크 주소 변환(NAT) 게이트웨이로 직접 전송됩니다. 관리형 방화벽 솔루션은 대신 기본 경로(0.0.0.0/0)가 방화벽 인터페이스를 가리키도록 프라이빗 서브넷 라우팅 테이블을 재구성합니다.

방화벽 자체에는 세 가지 인터페이스가 있습니다.

  1. 신뢰할 수 있는 인터페이스: 처리할 트래픽을 수신하기 위한 프라이빗 인터페이스입니다.

  2. 신뢰할 수 없는 인터페이스: 트래픽을 인터넷으로 전송하는 퍼블릭 인터페이스입니다. 방화벽은 NAT를 수행하기 때문에 외부 서버는 이러한 퍼블릭 IP 주소의 요청을 수락합니다.

  3. 관리 인터페이스: 방화벽 API, 업데이트, 콘솔 등을 위한 프라이빗 인터페이스입니다.

모든 라우팅에서 트래픽은 동일한 가용 영역(AZ) 내에서 유지되어 교차 AZ 트래픽을 줄입니다. 트래픽은 장애 조치가 발생할 때만 AZs를 통과합니다.

허용 목록 수정

온보딩 후 라는 기본 허용 목록이 생성ams-allowlist되며, 여기에는 AMS에 필요한 퍼블릭 엔드포인트와 Windows 및 Linux 호스트 패치를 위한 퍼블릭 엔드포인트가 포함됩니다. 작동하면 AMS 콘솔의 관리 | 관리형 방화벽 | 아웃바운드(Palo Alto) 범주에서 RFC를 생성하여 허용 목록을 생성 또는 삭제하거나 도메인을 수정할 수 있습니다. 는 수정할 수 ams-allowlist 없습니다. RFC는 완전 자동화로 처리됩니다(수동이 아님).

사용자 지정 보안 정책

보안 정책은 소스 및 대상 보안 영역, 소스 및 대상 IP 주소, 서비스와 같은 트래픽 속성을 기반으로 세션을 차단할지 또는 허용할지 여부를 결정합니다. 사용자 지정 보안 정책은 완전 자동화된 RFCs에서 지원됩니다. 보안 정책을 생성하거나 삭제할 CTs는 관리 | 관리형 방화벽 | 아웃바운드(Palo Alto) 범주에서 찾을 수 있으며, 기존 보안 정책을 편집할 CT는 배포 | 관리형 방화벽 | 아웃바운드(Palo Alto) 범주에서 찾을 수 있습니다. 새 보안 정책을 생성하거나, 보안 정책을 수정하거나, 보안 정책을 삭제할 수 있습니다.

참고

기본 보안 정책은 수정할 수 ams-allowlist 없습니다.

CloudWatch PA 송신 대시보드

CloudWatch에서 두 개의 대시보드를 찾아 Palo Alto(PA)의 집계 보기를 제공할 수 있습니다. AMS-MF-PA-Egress-Config-Dashboard는 PA 구성 개요, 허용 목록 링크, 속성을 포함한 모든 보안 정책 목록을 제공합니다. AMS-MF-PA-Egress-Dashboard를 사용자 지정하여 트래픽 로그를 필터링할 수 있습니다. 예를 들어 보안 정책에 대한 대시보드를 생성하려면 다음과 같은 필터를 사용하여 RFC를 생성할 수 있습니다.

fields @timestamp, @message
| filter @logStream like /pa-traffic-logs/
| filter @message like /<Security Policy Name>/
| parse @message "*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*,*," as x1, @x2, @x3, @x4, @type, @x6, @x7, @source_ip, @destination_ip, @source_nat_ip, @dest_nat_ip, @rule, @x13, @x14, @application, @x16, @from_zone, @to_zone, @x19, @x20, @x21, @x22, @session_id, @x24, @source_port, @destination_port, @source_nat_port, @destination_nat_port, @x29, @protocol, @action, @bytes, @bytes_sent, @bytes_recieved, @packets, @x36, @x37, @category, @x39, @x40, @x41, @source_country, @destination_country, @x44, @packets_sent, @packets_recieved, @session_end_reason, @x48, @x49, @x50
| display @timestamp, @rule, @action, @session_end_reason, @protocol, @source_ip, @destination_ip, @source_port, @destination_port, @session_id, @from_zone, @to_zone, @category, @bytes_sent, @bytes_recieved, @packets_sent, @packets_recieved, @source_country, @destination_country

장애 조치 모델

방화벽 솔루션에는 23개의 Palo Alto(PA) 호스트(AZ당 하나)가 포함되어 있습니다. 정상 확인 카나리아는 일정한 일정에 따라 실행되어 호스트의 상태를 평가합니다. 호스트가 비정상으로 식별되면 AMS에 알림이 전송되고 라우팅 테이블 변경을 통해 해당 AZ의 트래픽이 다른 AZ의 정상 호스트로 자동으로 이동합니다. 상태 확인 워크플로가 지속적으로 실행되므로 일시적인 문제 또는 수동 수정으로 인해 호스트가 다시 정상 상태가 되면 정상 호스트를 통해 트래픽이 올바른 AZ로 다시 이동합니다.

확장

AMS는 방화벽의 처리량 및 조정 한도를 모니터링합니다. 처리량 제한이 더 낮은 워터마크 임계값(CPU/네트워킹)을 초과하면 AMS가 알림을 수신합니다. 워터메이커 임계값이 낮으면 리소스가 포화 상태에 도달하여 AMS가 시간 경과에 따른 지표를 평가하고 조정 솔루션을 제안하기 위해에 도달하고 있음을 나타냅니다.

백업 및 복원

백업은 초기 시작 중, 구성 변경 후, 정기적으로 생성됩니다. 초기 시작 백업은 호스트별로 생성되지만 백업 워크플로가 호출될 때 모든 방화벽 호스트에서 구성 변경 및 정기적인 간격 백업이 수행됩니다. AMS 엔지니어는 이러한 기간 외부에서 추가 백업을 생성하거나 요청 시 백업 세부 정보를 제공할 수 있습니다.

AMS 엔지니어는 필요한 경우 구성 백업 복원을 수행할 수 있습니다. 복원이 필요한 경우 모든 호스트에서 복원이 발생하여 호스트 간의 구성을 동기화된 상태로 유지합니다.

복원은 호스트에 인스턴스의 완전한 재활용이 필요한 경우에도 발생할 수 있습니다. 새 EC2 인스턴스가 프로비저닝되면 최신 백업의 자동 복원이 발생합니다. 일반적으로 호스트는 정기적으로 재활용되지 않으며 심각한 장애 또는 필요한 AMI 스왑용으로 예약됩니다. 호스트 휴지통은 수동으로 시작되며 휴지통이 발생하기 전에 알림을 받습니다.

방화벽 구성 백업 외에 특정 허용 목록 규칙은 별도로 백업됩니다. 정의된 허용 목록 규칙이 수정되면 백업이 자동으로 생성됩니다. 필요한 경우 AMS 엔지니어가 허용 목록 백업을 복원할 수 있습니다.

업데이트

AMS Managed Firewall Solution은 시간 경과에 따른 다양한 업데이트가 필요하므로 시스템 개선 사항, 추가 기능 또는 방화벽 운영 체제(OS) 또는 소프트웨어 업데이트를 추가할 수 있습니다.

대부분의 변경 사항은 자동화 인프라 업데이트와 같은 실행 환경에 영향을 미치지 않지만 방화벽 인스턴스 교체 또는 OS 업데이트와 같은 다른 변경 사항으로 인해 중단이 발생할 수 있습니다. 업데이트로 인한 잠재적 서비스 중단이 평가되면 AMS는 유지 관리 기간을 수용하기 위해 사용자와 협력합니다.

운영자 액세스

AMS 운영자는 ActiveDirectory 자격 증명을 사용하여 Palo Alto 디바이스에 로그인하여 작업(예: 패치 적용, 이벤트 응답 등)을 수행합니다. 이 솔루션은 표준 AMS 운영자 인증 및 구성 변경 로그를 유지하여 Palo Alto 호스트에서 수행된 작업을 추적합니다.

기본 로그

기본적으로 방화벽에서 생성된 로그는 각 방화벽의 로컬 스토리지에 있습니다. 초과 근무 시 로컬 로그는 스토리지 사용률에 따라 삭제됩니다. AMS 솔루션은 시스템에서 CloudWatch 로그로 로그를 실시간으로 전송합니다. 자세한 내용은 섹션을 참조하세요CloudWatch Logs 통합.

AMS 엔지니어는 필요한 경우 시스템에서 직접 로그를 쿼리하고 내보낼 수 있습니다. 또한 로그를 고객 소유 Panorama로 전송할 수 있습니다. 자세한 내용은 섹션을 참조하세요Panorama 통합.

솔루션에서 수집하는 로그는 다음과 같습니다.

RFC 상태 코드
로그 유형 설명

트래픽

각 세션의 시작 및 종료에 대한 항목을 표시합니다. 각 항목에는 날짜 및 시간, 소스 및 대상 영역, 주소 및 포트, 애플리케이션 이름, 흐름에 적용된 보안 규칙 이름, 규칙 작업(허용, 거부 또는 삭제), 수신 및 송신 인터페이스, 바이트 수 및 세션 종료 이유가 포함됩니다.

유형 열은 항목이 세션의 시작 또는 종료를 위한 것인지 또는 세션이 거부 또는 삭제되었는지 여부를 나타냅니다. "삭제"는 "모든" 애플리케이션을 지정한 트래픽을 차단한 보안 규칙을 나타내고, "거부"는 규칙이 특정 애플리케이션을 식별했음을 나타냅니다.

규칙이 특정 서비스에 대한 모든 트래픽을 삭제하는 경우와 같이 애플리케이션이 식별되기 전에 트래픽이 삭제되면 애플리케이션은 "해당 없음"으로 표시됩니다.

위협

방화벽에서 생성된 각 보안 경보에 대한 항목을 표시합니다. 각 항목에는 날짜 및 시간, 위협 이름 또는 URL, 소스 및 대상 영역, 주소 및 포트, 애플리케이션 이름, 경보 작업(허용 또는 차단) 및 심각도가 포함됩니다.

유형 열은 "바이러스" 또는 "스파이웨어"와 같은 위협 유형을 나타내고, 이름 열은 위협 설명 또는 URL이며, 범주 열은 위협 범주(예: "키로거") 또는 URL 범주입니다.

URL 필터링

웹 사이트에 대한 액세스와 사용자가 웹 사이트에 자격 증명을 제출할 수 있는지 여부를 제어하는 URL 필터에 대한 로그를 표시합니다.

Configuration

각 구성 변경에 대한 항목을 표시합니다. 각 항목에는 날짜 및 시간, 관리자 사용자 이름, 변경한 IP 주소, 클라이언트 유형(웹 인터페이스 또는 CLI), 명령 실행 유형, 명령 성공 또는 실패 여부, 구성 경로, 변경 전후 값이 포함됩니다.

시스템

각 시스템 이벤트에 대한 항목을 표시합니다. 각 항목에는 날짜 및 시간, 이벤트 심각도, 이벤트 설명이 포함됩니다.

경보

경보 로그는 시스템에서 생성된 경보에 대한 세부 정보를 기록합니다. 이 로그의 정보는 경보에도 보고됩니다. "경보 설정 정의"를 참조하세요.

인증

최종 사용자가 인증 정책 규칙에 의해 액세스가 제어되는 네트워크 리소스에 액세스하려고 할 때 발생하는 인증 이벤트에 대한 정보를 표시합니다. 사용자는이 정보를 사용하여 액세스 문제를 해결하고 필요에 따라 사용자 인증 정책을 조정할 수 있습니다. 상관관계 객체와 함께 사용자는 인증 로그를 사용하여 무차별 대입 공격과 같은 사용자 네트워크에서의 의심스러운 활동을 식별할 수도 있습니다.

선택적으로 사용자는 인증 제한 시간을 로깅하도록 인증 규칙을 구성할 수 있습니다. 이러한 제한 시간은 사용자가 리소스에 대해 한 번만 인증해야 하지만 반복적으로 액세스할 수 있는 기간과 관련이 있습니다. 제한 시간에 대한 정보를 보면 사용자가 제한 시간을 조정할지 여부와 조정 방법을 결정하는 데 도움이 됩니다.

통합

최신 트래픽, 위협, URL 필터링, WildFire 제출 및 데이터 필터링 로그 항목을 단일 보기로 표시합니다. 집합 로그 보기를 사용하면 사용자가 이러한 다양한 유형의 로그를 함께 조사하고 필터링할 수 있습니다(각 로그 세트를 별도로 검색하는 대신). 또는 사용자는 표시할 로그 유형을 선택할 수 있습니다. 필터 필드 왼쪽에 있는 화살표를 클릭하고 트래픽, 위협, URL, 데이터 및/또는 산불을 선택하여 선택한 로그 유형만 표시할 수 있습니다.

이벤트 관리

AMS는 방화벽의 용량, 상태 및 가용성을 지속적으로 모니터링합니다. 방화벽에서 생성된 지표와 AWS/AMS에서 생성된 지표는 문제를 조사하고 해결할 AMS 운영 엔지니어가 수신하는 경보를 생성하는 데 사용됩니다. 현재 경보는 다음과 같은 경우를 다룹니다.

이벤트 경보:

  • Firewall Dataplane CPU 사용률

    • CPU 사용률 - Dataplane CPU(트래픽 처리)

  • Firewall Dataplane 패킷 사용률이 80% 초과

    • 패킷 사용률 - Dataplane(트래픽 처리)

  • Firewall Dataplane 세션 사용률

  • 방화벽 Dataplane 세션 활성

  • 방화벽 CPU 사용률 집계

    • 모든 CPUCPUs 사용률

  • AZ별 장애 조치

    • AZ에서 장애 조치가 발생할 때 경보 발생

  • 비정상 Syslog 호스트

    • Syslog 호스트 상태 확인 실패

관리 경보:

  • 상태 확인 모니터 실패 경보

    • 상태 확인 워크플로가 예기치 않게 실패하는 경우

    • 이는 방화벽 상태 확인이 실패하는 경우가 아니라 워크플로 자체를 위한 것입니다.

  • 암호 교체 실패 경보

    • 암호 교체에 실패하는 경우

    • API/서비스 사용자 암호는 90일마다 교체됩니다.

지표

모든 지표는 캡처되어 네트워킹 계정의 CloudWatch에 저장됩니다. 이는 네트워킹 계정에 대한 콘솔 액세스 권한을 얻고 CloudWatch 콘솔로 이동하여 볼 수 있습니다. 개별 지표는 지표 탭 또는 선택한 지표의 단일 창 대시보드 보기에서 볼 수 있으며, 집계된 지표는 대시보드 탭으로 이동하여 AMS-MF-PA-Egress-Dashboard를 선택하여 볼 수 있습니다.

사용자 지정 지표:

  • 상태 확인

    • 네임스페이스: AMS/MF/PA/Egress

      • PARouteTableConnectionsByAZ

      • PAUnhealthyByInstance

      • PAUnhealthyAggregatedByAZ

      • PAHealthCheckLockState

  • 방화벽 생성됨

    • 네임스페이스: AMS/MF/PA/Egress/<instance-id>

      • DataPlaneCPUUtilizationPct

      • DataPlanePacketBuffferUtilization

      • panGPGatewayUtilizationPct

      • panSessionActive

      • panSessionUtilization

CloudWatch Logs 통합

CloudWatch Logs 통합은 방화벽의 로그를 CloudWatch Logs로 전달하여 로컬 스토리지 사용률로 인한 로그 손실 위험을 완화합니다. 로그는 방화벽이 로그를 생성할 때 실시간으로 채워지며 콘솔 또는 API를 통해 온디맨드로 볼 수 있습니다.

복잡한 쿼리는 로그 분석을 위해 빌드하거나 CloudWatch Insights를 사용하여 CSV로 내보낼 수 있습니다. 또한 사용자 지정 AMS Managed Firewall CloudWatch 대시보드에는 특정 트래픽 로그 쿼리에 대한 빠른 보기와 시간 경과에 따른 트래픽 및 정책 적중에 대한 그래프 시각화도 표시됩니다. CloudWatch 로그를 사용하면 AWS Kinesis와 같은 다른 AWS 서비스에 대한 기본 통합도 가능합니다.

참고

PA 로그는 기존 온프레미스 또는 타사 Syslog 수집기로 직접 전달할 수 없습니다. AMS Managed Firewall 솔루션은 PA 시스템의 로그를 AWS CloudWatch Logs로 실시간으로 발송합니다. CloudWatch Logs Insight 기능을 사용하여 임시 쿼리를 실행할 수 있습니다. 또한 로그를 Palo Alto의 Panorama 관리 솔루션으로 전송할 수 있습니다. CloudWatch 구독 필터를 사용하여 CloudWatch 로그를 다른 대상으로 전달할 수도 있습니다. 다음 단원에서 Panorama에 대해 자세히 알아봅니다. Splunk에 대한 자세한 내용은 Splunk와 통합을 참조하세요.

Panorama 통합

AMS Managed Firewall은 필요에 따라 기존 Panorama와 통합할 수 있습니다. 이렇게 하면 Panorama에서 방화벽 구성을 보거나 방화벽에서 Panorama로 로그를 전달할 수 있습니다. AMS Managed Firewall과의 Panorama 통합은 읽기 전용이며 Panorama의 방화벽에 대한 구성 변경은 허용되지 않습니다. Panorama는 사용자가 완전히 관리하고 구성하며, AMS는 방화벽과 통신하도록 방화벽을 구성하는 것만 책임집니다.

라이선싱

AMS Managed Firewall의 가격은 사용된 라이선스 유형, 시간당 또는 기존 보유 라이선스 사용(BYOL) 및 어플라이언스가 실행되는 인스턴스 크기에 따라 달라집니다. AWS Marketplace를 통해 선호하는 Palo Alto 방화벽의 인스턴스 크기와 라이선스를 주문해야 합니다.

  • Marketplace 라이선스: MALZ의 네트워킹 계정에서 VM 시리즈 차세대 방화벽 번들 1의 이용 약관에 동의합니다.

  • BYOL 라이선스: MALZ의 네트워킹 계정에서 VM 시리즈 차세대 방화벽(BYOL)의 이용 약관에 동의하고 AMS에 라이선스를 구매한 후 얻은 "BYOL 인증 코드"를 공유합니다.

제한 사항

현재 AMS는 VM-300 시리즈 또는 VM-500 시리즈 방화벽을 지원합니다. 구성은 AWS EC2 인스턴스의 VM 시리즈 모델,

참고

AMS 솔루션은 AZ의 각 PA 인스턴스가 존경하는 AZ에 대한 송신 트래픽을 처리하므로 Active-Active 모드에서 실행됩니다. 따라서 2개의 AZs에서 각 PA 인스턴스는 최대 5Gbps의 송신 트래픽을 처리하고 2개의 AZs에서 전체 10Gbps 처리량을 효과적으로 제공합니다. 각 AZ의 모든 제한에 대해서도 마찬가지입니다. AMS 상태 확인이 실패하면 잘못된 PA가 있는 AZ에서 다른 AZ로 트래픽을 이동하고 인스턴스 교체 중에 용량이 나머지 AZs 제한으로 줄어듭니다.

AMS는 현재 AWS Marketplace에서 사용할 수 있는 다른 Palo Alto 번들을 지원하지 않습니다. 예를 들어 "VM 시리즈 차세대 방화벽 번들 2"를 요청할 수 없습니다. Palo Alto를 사용하는 AMS Managed Firewall 솔루션은 현재 송신 트래픽 필터링 서비스만 제공하므로 고급 VM 시리즈 번들을 사용하면 추가 기능이나 이점이 제공되지 않습니다.

온보딩 요구 사항

  • AWS Marketplace에서 Palo Alto의 VM 시리즈 차세대 방화벽 이용 약관을 검토하고 동의해야 합니다.

  • 예상 워크로드에 따라 사용할 인스턴스 크기를 확인해야 합니다.

  • 다중 계정 랜딩 존 환경 또는 온프레미스의 네트워크와 충돌하지 않는 /24 CIDR 블록을 제공해야 합니다. 송신 VPC와 클래스가 동일해야 합니다(솔루션은 송신 VPC에 /24 VPC 확장을 프로비저닝함).

요금

AMS Managed Firewall 기본 인프라 비용은 Palo Alto 방화벽을 호스팅하는 EC2 인스턴스, 소프트웨어 라이선스 Palo Alto VM 시리즈 라이선스, CloudWatch Integrations의 세 가지 주요 드라이버로 나뉩니다.

다음 요금은 VM-300 시리즈 방화벽을 기반으로 합니다.

  • EC2 인스턴스: Palo Alto 방화벽은 2~3개의 EC2 인스턴스로 구성된 고가용성 모델에서 실행되며, 여기서 인스턴스는 예상 워크로드를 기반으로 합니다. 인스턴스 비용은 리전 및 AZs

    • 예: us-east-1, m5.xlarge, 3AZs

      • $0.192 * 24 * 30 * 3 = $414.72

    • https://aws.amazon.com/ec2/pricing/on-demand/

  • Palo Alto 라이선스: Palo Alto VM-300 차세대 방화벽의 소프트웨어 라이선스 비용은 AZ 수와 인스턴스 유형에 따라 달라집니다.

    • 예: us-east-1, m5.xlarge, 3AZs

      • $0.87 * 24 * 30 * 3 = $1879.20

      • https://aws.amazon.com/marketplace/pp/B083M7JPKB?ref_=srh_res_product_title#pdp-pricing

  • CloudWatch Logs 통합: CloudWatch Logs 통합은 SysLog 서버(EC2 - t3.medium), NLB 및 CloudWatch Logs를 활용합니다. 서버 비용은 리전 및 AZs 수를 기준으로 하며, NLB/CloudWatch 로그 비용은 트래픽 사용률에 따라 달라집니다.

    • 예: us-east-1, t3.medium, 3AZ

      • $0.0416 * 24 * 30 * 3 = $89.86

    • https://aws.amazon.com/ec2/pricing/on-demand/

    • https://aws.amazon.com/cloudwatch/pricing/