SaaS 제품의 AWS 네트워킹 서비스 개요 - AWS 권장 가이드
AWS 서비스기능보안 기능

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

SaaS 제품의 AWS 네트워킹 서비스 개요

이 섹션에서는이 가이드에서 참조하는 AWS 네트워킹 서비스에 대해 설명합니다. 또한 기능을 비교하고 각 서비스에 대한 보안 고려 사항을 설명합니다.

AWS 네트워킹 서비스

다음은이 가이드에서 일관되게 설명하는 AWS 서비스 입니다.

AWS PrivateLink 는 고객이 이미에서 운영 중인 경우 SaaS 제품에 대한 액세스를 제공할 수 있는 클라우드 네이티브 서비스입니다 AWS 클라우드. 고객은 인터페이스 VPC 엔드포인트를 통해 SaaS 제품에 연결합니다. 이는 고객의에 있는 하나 이상의 서브넷에 프로비저닝되는 엔드포인트 네트워크 인터페이스입니다 AWS 계정. 이 가이드의 시나리오에서 트래픽은 인터페이스 VPC 엔드포인트를 통과하여 계정의 Network Load Balancer에 도착합니다. Network Load Balancer는 엔드포인트 서비스로 등록한 SaaS 애플리케이션에 트래픽을 전달합니다. 리소스 VPC 엔드포인트를 통해는 데이터베이스와 같은 다른 리소스에 액세스하는 데도 도움이 될 AWS PrivateLink 수 있습니다.

Amazon VPC Lattice

Amazon VPC Lattice는 SaaS 공급자가 여러 VPCs 및에서 운영하는 고객에게 안전하고 효율적으로 서비스를 제공할 수 있도록 지원하는 애플리케이션 네트워킹 서비스입니다 AWS 계정. 고객은 일관된 네트워크 연결, 강력한 액세스 제어 및 고급 트래픽 관리를 제공하는 VPC Lattice를 통해 SaaS 제품에 액세스합니다. 이러한 시나리오에서 트래픽은 VPC Lattice를 통해 등록된 애플리케이션 서비스로 흐릅니다. 사용하는 컴퓨팅 서비스에 관계없이 확장 가능하고 안전한 통신을 제공합니다.

VPC 피어링

VPC 피어링은 프라이빗 IPv4 주소 또는 IPv6 주소를 사용하여 두 Virtual Private Cloud(VPCs) 간의 트래픽을 라우팅하는 두 VPC 간의 네트워킹 연결입니다. VPC 피어링은 일반적으로 동일한 조직 내의 엔터티와 같은 신뢰할 수 있는 엔터티 간에 사용됩니다. 고객이 VPCs 중 하나에 피어링 요청을 생성합니다. 수락하면 트래픽VPCs 간에 어느 방향으로든 흐를 수 있습니다. 이 연결 접근 방식은 관리할 중간 서비스나 인프라 없이 두 VPCs 간에 직접 통신해야 하므로 고유성이 두드러집니다.

AWS Transit Gateway

AWS Transit Gateway는 VPCs, 가상 프라이빗 네트워크(VPN) 연결, AWS Direct Connect 게이트웨이, VPC의 타사 가상 어플라이언스 및 기타 전송 게이트웨이를 연결할 수 있는 중앙 집중식 네트워크 전송 허브입니다. 전송 게이트웨이는 각 연결에 대해 서로 다른 라우팅 테이블을 가질 수 있습니다. 이를 통해 라우팅의 유연성을 극대화하고 네트워크를 격리할 수 있습니다. 많은 VPCs 함께 연결하거나 중앙 집중식 검사를 수행하는 데 자주 사용됩니다.

AWS Site-to-Site VPN

AWS Site-to-Site VPN는 인터넷 프로토콜 보안(IPsec) 기술을 사용하여 온프레미스 네트워크, 원격 사무실, 공장, 기타 클라우드 공급자 및 AWS 글로벌 네트워크 간에 연결을 설정할 수 있습니다. 연결은의 VPC에 있는 가상 프라이빗 게이트웨이 또는 전송 게이트웨이에서 , AWS 클라우드온프레미스 또는 다른 CSP의 클라우드에 있을 수 있는 AWS 클라우드 물리적 또는 소프트웨어 기반 고객 게이트웨이로 설정됩니다. 인터넷 또는 물리적 연결을 통해 AWS Direct Connect 연결할 수 있습니다. 를 사용하여 Site-to-Site VPN 연결을 가속화할 수도 있습니다 AWS Global Accelerator. 가속화된 연결은 트래픽을 AWS 엣지 로케이션으로 라우팅하며 지연 시간을 줄이고 성능을 개선합니다.

AWS Direct Connect

AWS Direct Connect는 온프레미스 데이터 센터와 간에 고속 프라이빗 연결을 설정합니다 AWS 클라우드. 퍼블릭 인터넷을 우회하여는에 대한 보다 안정적이고 안전하며 일관된 저지연 연결을 Direct Connect 제공합니다 AWS 클라우드. 고객은 Direct Connect 위치 중 하나에 연결한 다음 호스팅된 연결 또는 전용 연결을 선택합니다 AWS. 이는 SaaS 제품에 대한 흔하지 않은 아키텍처 선택이지만 엔터프라이즈 소비자가 거의 없지만 대기업인 SaaS 공급자에게 매우 적합할 수 있습니다.

서비스 기능 비교

다음 표에는이 가이드에서 AWS 서비스 설명하는의 지원되는 기능이 요약되어 있습니다. 다음은이 표에 포함된 기능에 대한 설명입니다.

  • 겹치는 CIDR 범위 - CIDR 범위가 동일하거나 겹치는 두 개 이상의 네트워크를 연결할 수 있습니다.

  • 양방향 통신 - SaaS 소비자가 데이터베이스와 같은 내부 리소스를 SaaS 공급자에게 노출할 수 있도록 양방향 통신 채널을 지원할 수 있습니다.

  • IPv6 - 단일 또는 이중 스택으로 IPv6 지원 가능

  • 점보 프레임 - 프레임 크기가 최대 8,500 바이트인 점보 프레임을 지원할 수 있습니다.

  • 하이브리드 클라우드 - 온프레미스 네트워크와의 연결을 지원할 수 있습니다.

  • 다중 클라우드 - 서로 다른 클라우드 서비스 공급자의 네트워크 간 연결을 지원할 수 있습니다.

서비스 또는 접근 방식

CIDR 범위 중복

양방향 통신

IPv6

점보 프레임

하이브리드 클라우드

멀티 클라우드

VPC 피어링

아니요

5

아니요

아니요

AWS PrivateLink

1

아니요6

아니요6

Amazon VPC Lattice

1

아니요6

아니요6

AWS Transit Gateway

아니요

3

3

AWS Site-to-Site VPN

아니요

아니요

AWS Direct Connect

아니요

2

퍼블릭 인터넷 액세스4

해당 사항 없음

아니요

  1. Amazon VPC Lattice의 VPC 리소스 사용

  2. 프라이빗 및 전송 가상 인터페이스에만 해당

  3. Site-to-Site VPN 또는 AWS Direct Connect 연결 사용

  4. Application Load Balancer와 같이 애플리케이션에 공개적으로 액세스할 수 있도록 하는 AWS 리소스의 일반적인 용어입니다.

  5. 하나의 내에서 연결을 피어링하는 경우에만 AWS 리전

  6. 환경 간 기존 계층 3 연결을 통해 가능

보안 기능 및 고려 사항

다음 표에는이 가이드에서 AWS 서비스 설명하는의 보안 기능이 요약되어 있습니다.

  • 인증 수단 - 고객만 서비스에 연결할 수 있도록 하는 방법입니다. 수신 요청에 대한 또 다른 인증 수준은 일반적으로 특히 공유 테넌트 환경에서 여전히 필요합니다.

  • 전송 중 암호화 - 전송 중 암호화가 기본적으로 제공되는지 여부를 설명합니다. 네이티브 암호화는 VPCs 간 또는 데이터 센터 간 모든 트래픽에 대해가 AWS 제공하는 암호화VPCs 설명합니다. 보조 암호화는 사용자가 제어하고 각 서비스에서 중지할 수 있는 암호화를 설명합니다.

서비스 또는 접근 방식

인증 수단

전송 중 데이터 암호화

VPC 피어링

고객의 AWS 계정 및 VPC에 대한 피어링 요청을 시작하거나 고객이 시작한 요청을 수락합니다. VPC 피어링 연결 수락 또는 거부를 참조하세요.

네이티브 암호화만

AWS PrivateLink

서비스에 엔드포인트를 생성할 AWS 계정 수 있는를 선택합니다. 이러한 계정을 허용된 보안 주체라고 합니다. 연결 요청 수락 또는 거부를 참조하세요.

네이티브 암호화만

Amazon VPC Lattice

VPC Lattice 서비스 또는 서비스 네트워크를 고객의와 공유합니다 AWS 계정. VPC Lattice 엔터티 공유를 참조하세요.

기본 암호화 및 보조 TLS 암호화

AWS Transit Gateway

고객이에서 피어링 연결 요청을 생성 AWS 계정하거나 사용자가 요청을 시작합니다. Amazon VPC Transit Gateways의 Transit Gateway 피어링 연결을 참조하세요.

VPN 연결을 사용한 기본 암호화 및 보조 IPsec 암호화

AWS Site-to-Site VPN

고객의 디바이스에서 IPsec 사전 공유 키 또는 프라이빗 인증서를 사용합니다. AWS Site-to-Site VPN 터널 인증 옵션을 참조하세요.

보조 IPsec 암호화

AWS Direct Connect

고객이에서 가상 인터페이스 요청을 생성합니다 AWS 계정. Direct Connect 가상 인터페이스 및 호스팅 가상 인터페이스를 참조하세요.

일부 사이트에서는 추가 계층 2 암호화가 가능합니다. Direct Connect 위치를 참조하세요.

퍼블릭 인터넷 액세스1

사용자 지정 인증이 필요합니다.

추가 TLS 암호화 가능

  1. Application Load Balancer와 같이 애플리케이션에 공개적으로 액세스할 수 있게 하는 AWS 리소스의 일반적인 용어입니다.