기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Control Tower를 사용한 강력한 네트워크 설계
<a name="introduction"></a>

*Amazon Web Services*([기여자](contributors.md))

*2024년 9월*([문서 기록](doc-history.md))

보안은 모든 조직에서 중요한 역할을 합니다. 애플리케이션 보안의 주요 요인 중 하나는 네트워킹입니다. 네트워킹의 루프홀은 사이버 범죄자가 애플리케이션을 위협하고 시스템을 제어할 수 있는 다양한 기회를 노출시킬 수 있습니다. 이 가이드에서는 AWS Control Tower를 사용하여 AWS Organizations 수준에서 네트워크를 설계할 경우 몇 가지 모범 사례를 정의합니다. 네트워크 설계의 목표는 AWS 클라우드에서 호스팅되는 애플리케이션에 대한 더 쉬운 관리, 향상된 보안 및 보호를 제공하는 것입니다. 이 목표를 달성하기 위해 네트워크 설계는 AWS의 단일 중앙 집중식 네트워크 계정으로 송수신되는 트래픽을 검사, 필터링 및 로깅하는 것을 포함합니다.

여기서 다루는 접근 방식은 세 개의 가상 프라이빗 클라우드(VPC)를 포함하는 중앙 집중식 네트워크 계정을 사용합니다. 스포크 VPC 및 인터넷의 인바운드 및 아웃바운드 트래픽은 AWS WAF 및 AWS Network Firewall로 필터링됩니다. AWS Transit Gateway 및 VPC 엔드포인트는 트래픽을 라우팅하는 데 도움이 됩니다.

## 사전 조건
<a name="prerequisites"></a>
+ 활성 [AWS 계정](https://aws.amazon.com/resources/create-account/)
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html) 설정
+ [Transit Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/extend-tgw.html)에 대한 지식
+ 네트워킹 및 네트워크 보안에 대한 지식

## 중앙 집중식 네트워크 계정
<a name="network-account"></a>

조직의 전체 네트워크를 관리할 때는 네트워킹 구성 요소 또는 서비스 관리 전용 계정을 따로 두는 것이 좋습니다. 먼저 네트워킹 팀은 네트워킹 서비스 관리를 위한 계정(네트워크) 생성을 요청합니다. 새 계정을 생성한 후 계정 번호를 기록합니다. 그런 다음 IPAM에 계정 세부 정보를 제공하여 [Amazon Virtual Private Cloud(Amazon VPC) IP Address Manager(IPAM)](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) 제어를 AWS Control Tower 관리 계정에서 네트워크 계정으로 변경합니다.

새로 생성된 계정은 중앙 집중식 네트워크 계정으로, 다음 네트워크 서비스를 관리합니다.
+ IPAM
+ VPC 구성
+ 네트워크 액세스 제어 목록(ACL)
+ 중앙 집중식 네트워크 방화벽
+ AWS Transit Gateway
+ VPC 엔드포인트 구성
+ 중앙 집중식 DNS 관리
+ 중앙 집중식 인바운드 트래픽
+ AWS WAF