기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Control Tower를 사용한 강력한 네트워크 설계
Amazon Web Services(기여자)
2024년 9월(문서 기록)
보안은 모든 조직에서 중요한 역할을 합니다. 애플리케이션 보안의 주요 요인 중 하나는 네트워킹입니다. 네트워킹의 루프홀은 사이버 범죄자가 애플리케이션을 위협하고 시스템을 제어할 수 있는 다양한 기회를 노출시킬 수 있습니다. 이 가이드에서는 AWS Control Tower를 사용하여 AWS Organizations 수준에서 네트워크를 설계할 경우 몇 가지 모범 사례를 정의합니다. 네트워크 설계의 목표는 AWS 클라우드에서 호스팅되는 애플리케이션에 대한 더 쉬운 관리, 향상된 보안 및 보호를 제공하는 것입니다. 이 목표를 달성하기 위해 네트워크 설계는 AWS의 단일 중앙 집중식 네트워크 계정으로 송수신되는 트래픽을 검사, 필터링 및 로깅하는 것을 포함합니다.
여기서 다루는 접근 방식은 세 개의 가상 프라이빗 클라우드(VPC)를 포함하는 중앙 집중식 네트워크 계정을 사용합니다. 스포크 VPC 및 인터넷의 인바운드 및 아웃바운드 트래픽은 AWS WAF 및 AWS Network Firewall로 필터링됩니다. AWS Transit Gateway 및 VPC 엔드포인트는 트래픽을 라우팅하는 데 도움이 됩니다.
사전 조건
-
활성 AWS 계정
-
Transit Gateway에 대한 지식
-
네트워킹 및 네트워크 보안에 대한 지식
중앙 집중식 네트워크 계정
조직의 전체 네트워크를 관리할 때는 네트워킹 구성 요소 또는 서비스 관리 전용 계정을 따로 두는 것이 좋습니다. 먼저 네트워킹 팀은 네트워킹 서비스 관리를 위한 계정(네트워크) 생성을 요청합니다. 새 계정을 생성한 후 계정 번호를 기록합니다. 그런 다음 IPAM에 계정 세부 정보를 제공하여 Amazon Virtual Private Cloud(Amazon VPC) IP Address Manager(IPAM) 제어를 AWS Control Tower 관리 계정에서 네트워크 계정으로 변경합니다.
새로 생성된 계정은 중앙 집중식 네트워크 계정으로, 다음 네트워크 서비스를 관리합니다.
-
IPAM
-
VPC 구성
-
네트워크 액세스 제어 목록(ACL)
-
중앙 집중식 네트워크 방화벽
-
AWS Transit Gateway
-
VPC 엔드포인트 구성
-
중앙 집중식 DNS 관리
-
중앙 집중식 인바운드 트래픽
-
AWS WAF
