기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Implementing inline traffic inspection using third-party security appliances
Pooja Banerjee, Amazon Web Services(AWS)
2023년 7월(문서 기록)
이 안내서에서는에서 타사 방화벽 어플라이언스, AWS Transit Gateway및 Gateway Load Balancer를 사용하여 인라인 트래픽 검사 아키텍처를 구현하는 방법을 설명합니다 AWS 클라우드. 또한이 가이드에서는 트래픽 검사 요구 사항을 충족하고 네트워크 트래픽 검사 시나리오를 기반으로 트래픽 흐름을 이해하도록 Virtual Private Cloud(VPCs)를 설계하고 설계하는 방법을 설명합니다.
인라인 트래픽 검사를 통해 트래픽을 검사하고 보호하여 악의적인 행위자로부터 워크로드를 보호할 수 있습니다. 방화벽을 사용하면 소스에서 대상으로 흐를 때 네트워크 트래픽을 실시간으로 검사한 다음 방화벽 정책에 따라 트래픽을 허용하거나 거부할 수 있습니다. 이 가이드는 전사적 네트워크 관리를 담당하는 네트워크 및 보안 엔지니어를 위한 것입니다. 이 가이드에서는 다음 트래픽 검사 사용 사례에 대해 설명합니다.
-
두 워크로드 VPCs 간의 트래픽 검사
-
기존 워크로드 VPC에서 인터넷으로 가는 트래픽 모니터링
-
연결을 통해 워크로드 VPC에서 온프레미스로의 AWS Direct Connect 트래픽 모니터링
현재 활성 또는 대기 설정, 검사 방화벽의 각 측면에 로드 밸런서가 있는 소스 네트워크 주소 변환(SNAT)을 사용하는 샌드위치 모델, VPN 오버레이 모델을 비롯한 여러 트래픽 검사 배포를 사용할 수 있습니다. 이러한 옵션은 확장성, 고가용성(HA) 또는 과복잡성 측면에서 단점이 있을 수 있지만 Gateway Load Balancer를 사용하여 이러한 문제를 해결할 수 있습니다.
Gateway Load Balancer는 Open Systems Interconnection(OSI) 모델의 계층 3과 계층 4에서 작동합니다. 계층 3에서 Gateway Load Balancer는 대칭 방식으로 대상에 전송하기 전에 패킷을 소스에서 타사 어플라이언스로 투명하게 라우팅합니다. 계층 4에서 Gateway Load Balancer는 상태 확인을 수행하는 것 외에도 엔드포인트에 가용성과 확장성이 뛰어난 로드 밸런싱 기능을 제공합니다. 방화벽은 상태 저장 어플라이언스이므로 소스에서 대상으로의 흐름과 트래픽의 반환 흐름은 동일한 방화벽 어플라이언스에 남아 있어야 합니다.
이 가이드는 다음 세 가지 사용 사례에 대한 트래픽 검사 솔루션을 제공합니다.
