기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

인프라 OU - Network 계정

다음 다이어그램은 네트워크 계정에 구성된 AWS 보안 서비스를 보여줍니다. 

Network 계정은 애플리케이션과 광범위한 인터넷 사이의 게이트웨이를 관리합니다. 양방향 인터페이스 보호에 있어 중요합니다. Network 계정은 네트워킹 서비스, 구성 및 운영을 개별 애플리케이션 워크로드, 보안 및 기타 인프라로부터 분리합니다. 이를 통해 연결성, 권한 및 데이터 흐름을 제한할 뿐만 아니라 이러한 계정을 운영해야 하는 팀의 업무 및 최소 권한 분리를 지원합니다. 네트워크 흐름을 별도의 인바운드 및 아웃바운드 Virtual Private Cloud(VPC)로 분리하여 원치 않는 액세스로부터 민감한 인프라와 트래픽을 보호할 수 있습니다. 인바운드 네트워크는 일반적으로 위험이 더 크다고 간주되며 적절한 라우팅, 모니터링 및 잠재적 문제 완화 조치가 필요합니다. 이러한 인프라 계정은 Org Management 계정과 인프라 OU의 권한 가드레일을 상속합니다. 네트워킹 (및 보안) 팀에서 이 계정의 인프라 대부분을 관리합니다.

네트워크 아키텍처

네트워크 설계 및 세부 정보는이 문서의 범위를 벗어나지만 다양한 계정 간의 네트워크 연결에 VPC 피어링 AWS PrivateLink및의 세 가지 옵션을 사용하는 것이 좋습니다 AWS Transit Gateway. 이들 중에서 선택할 때 고려해야 할 중요한 사항은 운영 기준, 예산, 특정 대역폭 요구 사항입니다.

인바운드(수신) VPC

인바운드 VPC는 애플리케이션 외부에서 시작된 네트워크 연결을 수락, 검사 및 라우팅하기 위한 것입니다. 애플리케이션의 특성에 따라 이 VPC에서 일부 Network Address Translation(NAT)을 볼 수 있을 것입니다. 이 VPC의 흐름 로그는 캡처되어 Log Archive 계정에 저장됩니다.

아웃바운드(송신) VPC

아웃바운드 VPC는 애플리케이션 내에서 시작된 네트워크 연결을 처리합니다. 애플리케이션의 세부 사항에 따라 트래픽 NAT, AWS 서비스특정 VPC 엔드포인트 및이 VPC의 외부 API 엔드포인트 호스팅을 확인할 수 있습니다. 이 VPC의 흐름 로그는 캡처되어 Log Archive 계정에 저장됩니다.

검사 VPC

전용 검사 VPC는 VPCs(동일하거나 다른 AWS 리전), 인터넷 및 온프레미스 네트워크 간의 검사를 관리하기 위한 간소화된 중앙 접근 방식을 제공합니다. AWS SRA의 경우 VPCs 간의 모든 트래픽이 검사 VPC를 통과하는지 확인하고 다른 워크로드에 검사 VPC를 사용하지 마세요.

AWS Network Firewall

AWS Network Firewall는 VPC를 위한 고가용성 관리형 네트워크 방화벽 서비스입니다. 이를 통해 상태 저장 검사, 침입 방지 및 탐지, 웹 필터링을 손쉽게 배포하고 관리하여 가상 네트워크를 보호할 수 있습니다 AWS. Network Firewall을 사용하여 TLS 세션을 복호화하고 인바운드 및 아웃바운드 트래픽을 검사할 수 있습니다. Network Firewall 구성에 대한 자세한 내용은 AWS Network Firewall – VPC의 새로운 관리형 방화벽 서비스 블로그 게시물을 참조하세요.

VPC의 가용 영역별로 방화벽을 사용합니다. 각 가용 영역에 대해 트래픽을 필터링하는 방화벽 엔드포인트를 호스팅할 서브넷을 선택합니다. 가용 영역의 방화벽 엔드포인트는 가용 영역이 위치한 서브넷을 제외하고 영역 내의 모든 서브넷을 보호할 수 있습니다. 사용 사례 및 배포 모델에 따라 방화벽 서브넷은 퍼블릭 또는 프라이빗일 수 있습니다. 방화벽은 트래픽 흐름에 완전히 투명하며 Network Address Translation(NAT)을 수행하지 않습니다. 소스 및 대상 주소를 보존합니다. 이 참조 아키텍처에서 방화벽 엔드포인트는 검사 VPC에서 호스팅됩니다. 인바운드 VPC에서 아웃바운드 VPC로 향하는 모든 트래픽은 검사를 위해 이 방화벽 서브넷을 통해 라우팅됩니다.

Network Firewall은 Amazon CloudWatch 지표를 통해 방화벽 활동을 실시간으로 표시하고 Amazon Simple Storage Service(Amazon S3), CloudWatch 및 Amazon Data Firehose로 로그를 전송하여 네트워크 트래픽에 대한 가시성을 높입니다. Network Firewall은 AWS 파트너의 기술을 포함하여 기존 보안 접근 방식과 상호 운용할 수 있습니다. 또한 내부적으로 작성되었거나 타사 공급업체 또는 오픈 소스 플랫폼에서 외부 소싱되었을 수 있는 기존 Suricata 규칙 세트를 가져올 수 있습니다.

AWS SRA에서는 서비스의 네트워크 제어 중심 기능이 계정의 의도와 일치하기 때문에 네트워크 방화벽이 네트워크 계정 내에서 사용됩니다.

Network Access Analyzer

Network Access Analyzer는 리소스에 대한 의도하지 않은 네트워크 액세스를 식별하는 Amazon VPC의 기능입니다. Network Access Analyzer를 사용하여 네트워크 세분화를 검증하고, 인터넷에서 액세스할 수 있거나 신뢰할 수 있는 IP 주소 범위에서만 액세스할 수 있는 리소스를 식별하고, 모든 네트워크 경로에 적절한 네트워크 제어가 있는지 검증할 수 있습니다.

Network Access Analyzer는 자동화된 추론 알고리즘을 사용하여 패킷이 네트워크의 리소스 간에 취할 수 있는 AWS 네트워크 경로를 분석하고 정의된 네트워크 액세스 범위와 일치하는 경로에 대한 결과를 생성합니다. Network Access Analyzer는 네트워크 구성의 정적 분석을 수행합니다. 따라서 이 분석의 일환으로 네트워크에서 패킷이 전송되지 않습니다. 

Amazon Inspector Network Reachability 규칙은 관련 기능을 제공합니다. 이러한 규칙에 의해 생성된 조사 결과는 Application 계정에서 사용됩니다. Network Access Analyzer와 Network Reachability는 모두 AWS 검증된 보안 이니셔티브의 최신 기술을 사용하며,이 기술을 다양한 중점 영역에 적용합니다. Network Reachability 패키지는 특히 EC2 인스턴스와 해당 인터넷 접근성에 중점을 둡니다.

네트워크 계정은 AWS 환경 안팎의 트래픽을 제어하는 중요한 네트워크 인프라를 정의합니다. 이 트래픽을 면밀하게 모니터링해야 합니다. AWS SRA에서 Network Access Analyzer는 의도하지 않은 네트워크 액세스를 식별하고, 인터넷 게이트웨이를 통해 인터넷에 액세스할 수 있는 리소스를 식별하고, 리소스와 인터넷 게이트웨이 간의 모든 네트워크 경로에 네트워크 방화벽 및 NAT 게이트웨이와 같은 적절한 네트워크 제어가 있는지 확인하는 데 도움이 되도록 네트워크 계정 내에서 사용됩니다.

AWS RAM

AWS Resource Access Manager (AWS RAM)를 사용하면 한에서 생성한 AWS 리소스를 다른 AWS 계정 와 안전하게 공유할 수 있습니다 AWS 계정.는 리소스 공유를 관리하고 계정 간에이 경험을 표준화할 수 있는 중앙 위치를AWS RAM 제공합니다. 따라서 관리 및 청구 격리를 활용하면서 리소스를 더욱 쉽게 관리하고, 다중 계정 전략이 제공하는 영향 억제 혜택의 범위를 줄일 수 있습니다. 계정이에서 관리되는 경우 AWS Organizations조직의 모든 계정 또는 하나 이상의 지정된 조직 단위(OU) 내의 계정과만 리소스를 AWS RAM 공유할 수 있습니다.OUs 계정이 조직의 일부인지 여부에 관계없이 계정 ID AWS 계정 별로 특정와 공유할 수도 있습니다. 지원되는 일부 리소스 유형을 특정 IAM 역할 및 사용자와 공유할 수도 있습니다.

AWS RAM 를 사용하면 VPC 서브넷 및 Route 53 규칙과 같은 IAM 리소스 기반 정책을 지원하지 않는 리소스를 공유할 수 있습니다. 또한 리소스 AWS RAM소유자는 공유한 개별 리소스에 액세스할 수 있는 보안 주체를 확인할 수 있습니다. IAM 보안 주체는 IAM 리소스 정책에서 공유하는 리소스로는 수행할 수 없는 공유 리소스 목록을 직접 검색할 수 있습니다. AWS RAM 를 사용하여 AWS 조직 외부에서 리소스를 공유하면 초대 프로세스가 시작됩니다. 수신자는 리소스에 대한 액세스 권한이 부여되기 전에 초대를 수락해야 합니다. 그러면 추가 확인 및 밸런스가 제공됩니다.

AWS RAM 는 공유 리소스가 배포된 계정에서 리소스 소유자가 호출하고 관리합니다. AWS SRA에 AWS RAM 설명된의 일반적인 사용 사례 중 하나는 네트워크 관리자가 VPC 서브넷 및 전송 게이트웨이를 전체 AWS 조직과 공유하는 것입니다. 이를 통해 AWS 계정 및 네트워크 관리 기능을 분리할 수 있으며 업무 분리를 달성할 수 있습니다. VPC 공유에 대한 자세한 내용은 AWS 블로그 게시물 VPC 공유: 여러 계정 및 VPC 관리에 대한 새로운 접근 방식 및 AWS 네트워크 인프라 백서를 참조하세요.

AWS Verified Access

AWS Verified Access는 VPN 없이 회사 애플리케이션 및 리소스에 대한 보안 액세스를 제공합니다. 사전 정의된 요구 사항에 따라 각 액세스 요청을 실시간으로 평가하여 보안 태세를 개선하고 제로 트러스트 액세스를 적용하는 데 도움이 됩니다. 자격 증명 데이터 및 디바이스 상태를 기반으로 하는 조건으로 각 애플리케이션에 대한 고유한 액세스 정책을 정의할 수 있습니다. Verified·Access는 Git 리포지토리, 데이터베이스 및 EC2 인스턴스 그룹과 같은 애플리케이션의 TCP, SSH 및 RDP 프로토콜을 통해 브라우저 기반 애플리케이션과 같은 HTTP(S) 애플리케이션과 비 HTTP(S) 애플리케이션에 대한 보안 액세스를 제공합니다. 명령줄 터미널을 사용하거나 데스크톱 애플리케이션에서 액세스할 수 있습니다. 또한 Verified Access는 관리자가 액세스 정책을 효율적으로 설정하고 모니터링할 수 있도록 지원하여 보안 작업을 간소화합니다. 따라서 정책을 업데이트하고, 보안 및 연결 사고에 대응하고, 규정 준수 표준을 감사할 시간을 확보할 수 있습니다. 또한 Verified Access는 와의 통합을 지원 AWS WAF 하여 SQL 주입 및 교차 사이트 스크립팅(XSS)과 같은 일반적인 위협을 필터링하는 데 도움이 됩니다. Verified·Access는와 원활하게 통합되어 사용자가 SAML 기반 서드 파티 자격 증명 공급자(IdP)로 인증할 AWS IAM Identity Center수 있습니다.IdPs OpenID Connect(OIDC)와 호환되는 사용자 지정 IdP 솔루션이 이미 있는 경우 Verified Access는 IdP에 직접 연결하여 사용자를 인증할 수도 있습니다. Verified Access는 모든 액세스 시도를 로깅하므로 보안 사고 및 감사 요청에 신속하게 대응할 수 있습니다. Verified·Access는 이러한 로그를 Amazon Simple Storage Service(Amazon S3), Amazon CloudWatch Logs 및 Amazon Data Firehose로 전송할 수 있도록 지원합니다. 

Verified Access는 두 가지 일반적인 기업 애플리케이션 패턴인 내부 및 인터넷 경계를 지원합니다. Verified Access는 Application Load Balancer 또는 탄력적 네트워크 인터페이스를 사용하여 애플리케이션과 통합됩니다. Application Load Balancer를 사용하는 경우 Verified Access에는 내부 로드 밸런서가 필요합니다. Verified·Access는 인스턴스 수준에서 AWS WAF 를 지원하므로 Application Load Balancer와 통합된 기존 애플리케이션은 AWS WAF 로드 밸런서에서 Verified·Access 인스턴스로 정책을 이동할 수 있습니다. 기업 애플리케이션은 Verified Access 엔드포인트로 표시됩니다. 각 엔드포인트는 Verified Access 그룹과 연결되며 그룹에 대한 액세스 정책을 상속합니다. Verified Access 그룹은 Verified Access 엔드포인트와 그룹 수준의 확인된 액세스 정책의 모음입니다. 그룹은 정책 관리를 간소화하고 IT 관리자가 기준을 설정할 수 있도록 지원합니다. 애플리케이션 소유자는 애플리케이션의 민감도에 따라 세분화된 정책을 추가로 정의할 수 있습니다.

AWS SRA에서 Verified·Access는 네트워크 계정 내에서 호스팅됩니다. 중앙 IT 팀은 중앙에서 관리되는 구성을 설정합니다. 예를 들어 ID 제공업체(예: Okta)와 디바이스 신뢰 제공업체(예: Jamf)와 같은 신뢰 제공자를 연결하고, 그룹을 생성하고, 그룹 수준 정책을 결정할 수 있습니다. 그런 다음를 사용하여 이러한 구성을 수십, 수백 또는 수천 개의 워크로드 계정과 공유할 수 있습니다 AWS RAM. 이를 통해 애플리케이션 팀은 다른 팀의 오버헤드 없이 애플리케이션을 관리하는 기본 엔드포인트를 관리할 수 있습니다.는 다양한 워크로드 계정에서 호스팅되는 기업 애플리케이션에 Verified Access를 활용할 수 있는 확장 가능한 방법을 AWS RAM 제공합니다.

Amazon VPC Lattice

Amazon VPC Lattice는 service-to-service 통신을 연결, 모니터링 및 보호하는 애플리케이션 네트워킹 서비스입니다. 마이크로서비스라고도 하는 서비스는 특정 작업을 제공하는 독립적으로 배포 가능한 소프트웨어 단위입니다. VPC Lattice는 기본 네트워크 연결, 프런트엔드 로드 밸런서 또는 사이드카 프록시를 관리할 필요 AWS 계정 없이 VPCs 및 간의 서비스 간 네트워크 연결 및 애플리케이션 계층 라우팅을 자동으로 관리합니다. 경로 및 헤더와 같은 요청 특성을 기반으로 애플리케이션 수준 라우팅을 제공하는 종합 관리형 애플리케이션 계층 프록시를 제공합니다. VPC Lattice는 VPC 인프라에 내장되어 있으므로 Amazon Elastic Compute Cloud(Amazon EC2), Amazon Elastic Kubernetes Service(Amazon EKS) 및와 같은 다양한 컴퓨팅 유형에서 일관된 접근 방식을 제공합니다 AWS Lambda. 또한 VPC Lattice는 블루/그린 및 canary 스타일 배포에 대한 가중치 기반 라우팅을 지원합니다. VPC Lattice를 사용하여 서비스 검색 및 연결을 자동으로 구현하는 논리적 경계가 있는 서비스 네트워크를 생성할 수 있습니다. VPC Lattice는 인증 정책을 사용한 service-to-service 인증 및 권한 부여를 위해 IAM과 통합됩니다. 

VPC Lattice는와 통합되어 서비스 및 서비스 네트워크를 공유할 AWS RAM 수 있습니다. AWS SRA는 개발자 또는 서비스 소유자가 애플리케이션 계정에서 VPC Lattice 서비스를 생성하는 분산 아키텍처를 보여줍니다. 서비스 소유자는 인증 정책과 함께 리스너, 라우팅 규칙 및 대상 그룹을 정의합니다. 그런 다음 서비스를 다른 계정과 공유하고, 서비스를 VPC Lattice 서비스 네트워크와 연결합니다. 이러한 네트워크는 네트워크 관리자가 Network 계정에서 생성하고 Application 계정과 공유합니다. 네트워크 관리자는 서비스 네트워크 수준 인증 정책 및 모니터링을 구성합니다. 관리자는 VPC와 VPC Lattice 서비스를 하나 이상의 서비스 네트워크와 연결합니다. 이 분산 아키텍처에 대한 자세한 내용은 AWS 블로그 게시물 Amazon VPC Lattice를 사용하여 애플리케이션을 위한 안전한 다중 계정 다중 VPC 연결 구축을 참조하세요.

엣지 보안

엣지 보안에는 일반적으로 보안 콘텐츠 전송, 네트워크 및 애플리케이션 계층 보호, 분산 서비스 거부(DDoS) 완화라는 세 가지 유형의 보호가 수반됩니다. 권장 버전의 TLS를 사용하여 엔드포인트 간 통신을 암호화하여 데이터, 비디오, 애플리케이션, API와 같은 콘텐츠를 빠르고 안전하게 제공해야 합니다. 또한 콘텐츠에는 서명된 URL, 서명된 쿠키 및 토큰 인증을 통한 액세스 제한이 적용되어야 합니다. 애플리케이션 수준 보안은 봇 트래픽을 제어하고, SQL 명령어 삽입 또는 크로스 사이트 스크립팅(XSS)과 같은 일반적인 공격 패턴을 차단하고, 웹 트래픽 가시성을 제공하도록 설계되어야 합니다. 엣지에서 DDoS 완화는 미션 크리티컬 비즈니스 운영 및 서비스의 지속적인 가용성을 보장하는 중요한 방어 계층을 제공합니다. 애플리케이션과 API는 SYN 플러드, UDP 플러드 또는 기타 반사 공격으로부터 보호되어야 하며 기본적인 네트워크 계층 공격을 차단할 수 있는 인라인 완화 기능을 갖추어야 합니다.

AWS 는 코어 클라우드에서 AWS 네트워크 엣지에 이르기까지 안전한 환경을 제공하는 데 도움이 되는 여러 서비스를 제공합니다. Amazon CloudFront, AWS Certificate Manager (ACM) AWS Shield AWS WAF및 Amazon Route 53은 유연하고 계층화된 보안 경계를 생성하는 데 도움이 됩니다. CloudFront를 사용하면 TLSv1.3을 사용하여 최종 사용자 클라이언트와 CloudFront 간의 통신을 암호화하고 보호하여 HTTPS를 통해 콘텐츠, APIs 또는 애플리케이션을 제공할 수 있습니다. ACM을 사용하여 사용자 지정 SSL 인증서를 생성하고 CloudFront 배포에 무료로 배포할 수 있습니다. ACM은 인증서 갱신을 자동으로 처리합니다. Shield는에서 실행되는 애플리케이션을 보호하는 데 도움이 되는 관리형 DDoS 보호 서비스입니다 AWS. 애플리케이션 가동 중지 시간과 지연 시간을 최소화하는 동적 탐지 및 자동 인라인 완화 기능을 제공합니다. 특정 조건(IP 주소, HTTP 헤더 및 본문 또는 사용자 지정 URIs), 일반적인 웹 공격 및 퍼베이시브 봇을 기반으로 웹 트래픽을 필터링하는 규칙을 AWS WAF 생성할 수 있습니다. Route 53은 가용성과 확장성이 뛰어난 DNS 웹 서비스입니다. Route 53는 사용자 요청을 AWS 또는 온프레미스에서 실행되는 인터넷 애플리케이션에 연결합니다. AWS SRA는 네트워크 계정 내에서 AWS Transit Gateway호스팅되는를 사용하여 중앙 집중식 네트워크 수신 아키텍처를 채택하므로 엣지 보안 인프라도이 계정에서 중앙 집중식입니다.

Amazon CloudFront

Amazon CloudFront는 공통 네트워크 계층 및 전송 DDoS 시도에 대한 고유한 보호 기능을 제공하는 안전한 콘텐츠 배포 네트워크(CDN)입니다. TLS 인증서를 사용하여 콘텐츠, API 또는 애플리케이션을 배포할 수 있으며, 고급 TLS 기능은 자동으로 활성화됩니다. ACM 섹션의 뒷부분에 설명된 대로 AWS Certificate Manager (ACM)을 사용하여 사용자 지정 TLS 인증서를 생성하고 최종 사용자와 CloudFront 간에 HTTPS 통신을 적용할 수 있습니다. 추가로 CloudFront와 사용자 지정 오리진 간의 통신에서 전송 시 종단 간 암호화를 구현하도록 요구할 수 있습니다. 이 시나리오의 경우 오리진 서버에 TLS 인증서를 설치해야 합니다. 오리진이 탄력적 로드 밸런서인 경우 ACM에서 생성한 인증서 또는 타사 인증 기관(CA)에서 검증하고 ACM으로 가져온 인증서를 사용할 수 있습니다. S3 버킷 웹 사이트 엔드포인트가 CloudFront의 오리진 역할을 하는 경우 Amazon S3가 웹 사이트 엔드포인트에 HTTPS를 지원하지 않으므로 오리진과 함께 HTTPS를 사용하도록 CloudFront를 구성할 수 없습니다. (하지만 최종 사용자와 CloudFront 사이에 HTTPS를 요구할 수 있습니다.) HTTPS 인증서 설치를 지원하는 다른 모든 오리진의 경우 신뢰할 수 있는 타사 CA에서 서명한 인증서를 사용해야 합니다. 

CloudFront는 콘텐츠에 대한 액세스를 보호하고 제한하는 여러 옵션을 제공합니다. 예를 들어 서명된 URL과 서명된 쿠키를 사용하여 Amazon S3 오리진에 대한 액세스를 제한할 수 있습니다. 자세한 내용은 CloudFront 설명서의 보안 액세스 구성 및 콘텐츠에 대한 액세스 제한을 참조하세요.

AWS SRA는를 사용하여 구현된 중앙 집중식 네트워크 패턴과 일치하므로 네트워크 계정의 중앙 집중식 CloudFront 배포를 보여줍니다 AWS Transit Gateway. Network 계정에서 CloudFront를 배포하고 배포를 관리하면 중앙 집중식 제어의 이점을 얻을 수 있습니다. 모든 CloudFront 배포를 한 곳에서 관리할 수 있으므로 모든 계정의 액세스를 제어하고, 설정을 구성하고, 사용량을 모니터링하기 더욱 쉽습니다. 또한 하나의 중앙화된 계정에서 ACM 인증서, DNS 레코드 및 CloudFront 로깅을 관리할 수 있습니다.

CloudFront 보안 대시보드는 CloudFront 배포에서 직접 AWS WAF 가시성과 제어를 제공합니다. 애플리케이션의 주요 보안 추세, 허용 및 차단된 트래픽, 봇 활동을 파악할 수 있습니다. 시각적 로그 분석기 및 기본 제공 차단 제어와 같은 조사 도구를 사용하여 로그를 쿼리하거나 보안 규칙을 작성하지 않고도 트래픽 패턴을 격리하고 트래픽을 차단할 수 있습니다.

AWS WAF

AWS WAF는 애플리케이션 가용성에 영향을 미치거나, 보안을 손상시키거나, 과도한 리소스를 소비할 수 있는 일반적인 취약성 및 봇과 같은 웹 악용으로부터 웹 애플리케이션을 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. Amazon CloudFront 배포, Amazon API Gateway REST API, Application Load Balancer, an AWS AppSync GraphQL API, Amazon Cognito 사용자 풀 및 AWS App Runner 서비스와 통합할 수 있습니다.

AWS WAF 는 웹 액세스 제어 목록(ACLs)을 사용하여 AWS 리소스 세트를 보호합니다. 웹 ACL은 검사 기준을 정의하는 규칙 세트와 웹 요청이 기준을 충족하는 경우 수행할 관련 작업(봇 제어 차단, 허용, 계산 또는 실행)입니다.는 일반적인 애플리케이션 취약성에 대한 보호를 제공하는 관리형 규칙 세트를 AWS WAF 제공합니다. 이러한 규칙은 AWS 및 AWS Partners에서 큐레이션하고 관리합니다. AWS WAF 또한는 사용자 지정 규칙을 작성하기 위한 강력한 규칙 언어를 제공합니다. 사용자 지정 규칙을 사용하여 특정 요구 사항에 맞는 검사 기준을 작성할 수 있습니다. IP 제한, 지리적 제한, 특정 애플리케이션 동작에 더 적합한 관리형 규칙의 사용자 지정 버전 등을 예로 들 수 있습니다.

AWS WAF 는 공통 및 대상 봇과 계정 탈취 방지(ATP)를 위한 지능형 계층 관리형 규칙 세트를 제공합니다. Bot Control 및 ATP 규칙 그룹을 사용하는 경우 구독 요금과 트래픽 검사 요금이 부과됩니다. 따라서 트래픽을 먼저 모니터링하고 무엇을 사용할지 결정하는 것이 좋습니다. 콘솔에서 AWS WAF 무료로 사용할 수 있는 봇 관리 및 계정 탈취 대시보드를 사용하여 이러한 활동을 모니터링한 다음 지능형 계층 AWS WAF 규칙 그룹이 필요한지 여부를 결정할 수 있습니다. 

AWS SRA에서 AWS WAF 는 네트워크 계정의 CloudFront와 통합됩니다. 이 구성에서 AWS WAF 규칙 처리는 VPC 내부가 아닌 엣지 로케이션에서 수행됩니다. 이를 통해 콘텐츠를 요청한 최종 사용자와 가까운 곳에서 악성 트래픽을 필터링할 수 있고, 코어 네트워크로 들어오는 악성 트래픽을 제한할 수 있습니다. 

S3 버킷에 AWS WAF 대한 교차 계정 액세스를 구성하여 로그 아카이브 계정의 S3 버킷에 전체 로그를 전송할 수 있습니다. 자세한 내용은이 주제에 대한 AWS re:Post 문서를 참조하세요.

AWS Shield

AWS Shield는에서 실행되는 애플리케이션을 보호하는 관리형 DDoS 보호 서비스입니다 AWS. Shield에는 Shield Standard와 Shield Advanced라는 두 가지 티어가 있습니다. Shield Standard는 모든 AWS 고객에게 추가 비용 없이 가장 일반적인 인프라(계층 3 및 4) 이벤트에 대한 보호를 제공합니다. Shield Advanced는 보호된 Amazon EC2, Elastic Load Balancing(Elastic Load Balancing), CloudFront AWS Global Accelerator및 Route 53 호스팅 영역의 애플리케이션을 대상으로 하는 무단 이벤트에 대해 보다 정교한 자동 완화 기능을 제공합니다. 가시성이 높은 웹 사이트를 소유하거나 DDoS 공격이 자주 발생하는 경우 Shield Advanced가 제공하는 추가 기능을 고려할 수 있습니다.

Shield Advanced 자동 애플리케이션 계층 DDoS 완화 기능을 사용하여 보호된 CloudFront 배포, Elastic Load Balancing(Elastic Load Balancing) 로드 밸런서(애플리케이션, 네트워크 및 클래식), Amazon Route 53 호스팅 영역, Amazon EC2 탄력적 IP 주소 및 AWS Global Accelerator 표준 액셀러레이터에 대한 애플리케이션 계층(계층 7) 공격을 자동으로 완화하도록 Shield Advanced를 구성할 수 있습니다. 이 기능을 활성화하면 Shield Advanced는 DDoS 공격을 완화하기 위한 사용자 지정 AWS WAF 규칙을 자동으로 생성합니다. 또한 Shield Advanced는 AWS Shield 대응 팀(SRT)에 대한 액세스 권한을 제공합니다. 진행 중인 DDoS 공격 중에 언제든지 SRT에 문의하여 애플리케이션에 대한 사용자 지정 완화 기능을 만들고 관리할 수 있습니다. SRT에서 보호되는 리소스를 사전에 모니터링하고 DDoS 시도 중에 연락을 취하도록 하려면 사전 참여 기능을 활성화하는 것이 좋습니다.

AWS Certificate Manager (ACM)

AWS Certificate Manager (ACM)를 사용하면 및 내부 연결 리소스와 함께 사용할 퍼블릭 및 프라이빗 TLS 인증서를 프로비저닝, 관리 AWS 서비스 및 배포할 수 있습니다. ACM을 사용하면 인증서를 빠르게 요청하고, Amazon API Gateway의 Elastic Load Balancing 로드 밸런서, CloudFront 배포 및 APIs와 같은 ACM 통합 AWS 리소스에 배포하고, ACM이 인증서 갱신을 처리하도록 할 수 있습니다. ACM 퍼블릭 인증서를 요청할 때 키 페어 또는 인증서 서명 요청(CSR)을 생성하거나, 인증 기관(CA)에 CSR을 제출하거나, 인증서를 수신할 때 인증서를 업로드하고 설치할 필요가 없습니다. 또한 ACM은 타사 CA에서 발급한 TLS 인증서를 가져와 ACM 통합 서비스에 배포할 수 있는 옵션을 제공합니다. ACM을 사용하여 인증서를 관리하는 경우 강력한 암호화 및 키 관리 모범 사례를 사용하여 인증서 프라이빗 키를 안전하게 보호하고 저장합니다. ACM을 사용하면 퍼블릭 인증서 프로비저닝에 대한 추가 비용이 없으며, ACM에서 갱신 프로세스를 관리합니다.

Network 계정에서 ACM은 퍼블릭 TLS 인증서를 생성하는 데 사용되고, CloudFront 배포에서는 이를 사용하여 최종 사용자와 CloudFront 간에 HTTPS 연결을 설정합니다. 자세한 내용은 CloudFront 설명서를 참조하세요.

Amazon Route 53

Amazon Route 53는 가용성과 확장성이 뛰어난 DNS 웹 서비스입니다. Route 53을 사용하여 세 가지 주요 기능, 즉 도메인 등록, DNS 라우팅, 상태 확인을 실행할 수 있습니다.

Route 53을 DNS 서비스로 사용하여 도메인 이름을 EC2 인스턴스, S3 버킷, CloudFront 배포 및 기타 AWS 리소스에 매핑할 수 있습니다. AWS DNS 서버의 분산 특성은 최종 사용자가 애플리케이션에 일관되게 라우팅되도록 하는 데 도움이 됩니다. Route 53 트래픽 흐름 및 라우팅 제어와 같은 기능은 신뢰성을 개선하는 데 도움이 됩니다. 기본 애플리케이션 엔드포인트를 사용할 수 없게 되는 경우 사용자를 다른 위치로 다시 라우팅하도록 장애 조치를 구성할 수 있습니다. Route 53 Resolver는 AWS Direct Connect 또는 AWS 관리형 VPN을 통해 VPC 및 온프레미스 네트워크에 대한 재귀 DNS를 제공합니다.

Route 53에서 IAM 서비스를 사용하면 DNS 데이터를 업데이트할 수 있는 사용자를 세밀하게 제어할 수 있습니다. DNS Security Extensions(DNSSEC) 서명을 활성화하여 DNS 해석기가 DNS 응답이 Route 53에서 왔으며 변조되지 않았는지 검증할 수 있습니다.

Route 53 Resolver DNS Firewall은 VPC의 아웃바운드 DNS 요청을 보호합니다. 이러한 요청은 도메인 이름 해석을 위해 Route 53 Resolver를 통과합니다. DNS 방화벽 보호의 주된 용도는 데이터의 DNS 유출을 방지하는 것입니다. DNS 방화벽을 사용하면 애플리케이션에서 쿼리할 수 있는 도메인을 모니터링하고 제어할 수 있습니다. 잘못된 것으로 알고 있는 도메인에 대한 액세스를 거부하고 다른 모든 쿼리가 통과하도록 허용할 수 있습니다. 또는 명시적으로 신뢰하는 도메인을 제외한 모든 도메인에 대한 액세스를 거부할 수 있습니다. DNS 방화벽을 사용하여 VPC 엔드포인트 이름을 포함하여 프라이빗 호스팅 영역(공유 또는 로컬 호스팅 영역)의 리소스에 대한 해석 요청을 차단할 수도 있습니다. 또한 퍼블릭 또는 프라이빗 EC2 인스턴스 이름에 대한 요청을 차단할 수도 있습니다.

Route 53 해석기는 기본적으로 모든 VPC의 일부분으로 생성됩니다. AWS SRA에서 Route 53은 주로 DNS 방화벽 기능에 네트워크 계정에서 사용됩니다.