보안 - AWS의 분산 로드 테스트
IAM 역할Amazon CloudFrontAmazon API GatewayAWS Fargate 보안 그룹네트워크 스트레스 테스트퍼블릭 사용자 인터페이스에 대한 액세스 제한MCP 서버 보안(선택 사항)

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안

AWS 인프라에 시스템을 구축하면 사용자와 AWS 간에 보안 책임이 공유됩니다. AWS는 호스트 운영 체제, 가상화 계층, 서비스가 운영되는 시설의 물리적 보안을 포함한 구성 요소를 운영, 관리 및 제어하므로이 공동 책임 모델은 운영 부담을 줄입니다. AWS 보안에 대한 자세한 내용은 AWS Cloud Security를 참조하십시오.

IAM 역할

AWS Identity and Access Management(IAM) 역할을 통해 고객은 AWS 클라우드의 서비스 및 사용자에게 세분화된 액세스 정책 및 권한을 할당할 수 있습니다. 이 솔루션은 솔루션의 AWS Lambda 함수에 리전 리소스를 생성할 수 있는 액세스 권한을 부여하는 IAM 역할을 생성합니다.

Amazon CloudFront

이 솔루션은 Amazon CloudFront에서 배포하는 Amazon S3 버킷에 호스팅된 웹 UI를 배포합니다. Amazon CloudFront 지연 시간을 줄이고 보안을 개선하기 위해이 솔루션에는 솔루션 웹 사이트의 버킷 콘텐츠에 대한 퍼블릭 액세스를 제공하는 CloudFront 사용자인 오리진 액세스 ID가 있는 CloudFront 배포가 포함됩니다. 기본적으로 CloudFront 배포는 TLS 1.2를 사용하여 최고 수준의 보안 프로토콜을 적용합니다. 자세한 내용은 Amazon CloudFront 개발자 안내서의 Amazon S3 오리진에 대한 액세스 제한을 참조하세요. Amazon CloudFront

CloudFront는 추가 보안 완화 기능을 활성화하여 각 최종 사용자 응답에 HTTP 보안 헤더를 추가합니다. 자세한 내용은 CloudFront 응답에서 HTTP 헤더 추가 또는 제거를 참조하세요.

이 솔루션은 TLS v1.0의 최소 지원 보안 프로토콜이 있는 기본 CloudFront 인증서를 사용합니다. TLS v1.2 또는 TLS v1.3 사용을 적용하려면 기본 CloudFront 인증서 대신 사용자 지정 SSL 인증서를 사용해야 합니다. 자세한 내용은 SSL/TLS 인증서를 사용하도록 CloudFront 배포를 구성하려면 어떻게 해야 하나요?를 참조하세요.

Amazon API Gateway

이 솔루션은 엣지 최적화 Amazon API Gateway 엔드포인트를 배포하여 사용자 지정 도메인이 아닌 기본 APIs Gateway 엔드포인트를 사용하여 로드 테스트 기능에 대한 RESTful API를 제공합니다. 기본 엔드포인트를 사용하는 엣지 최적화 APIs의 경우 API Gateway는 TLS-1-0 보안 정책을 사용합니다. 자세한 내용은 Amazon API Gateway APIs.

이 솔루션은 TLS v1.0의 최소 지원 보안 프로토콜이 있는 기본 API Gateway 인증서를 사용합니다. TLS v1.2 또는 TLS v1.3 사용을 적용하려면 기본 API Gateway 인증서 대신 사용자 지정 SSL 인증서가 있는 사용자 지정 도메인을 사용해야 합니다. 자세한 내용은 REST APIs.

AWS Fargate 보안 그룹

기본적으로이 솔루션은 AWS Fargate 보안 그룹의 아웃바운드 규칙을 퍼블릭으로 엽니다. AWS Fargate가 어디서나 트래픽을 전송하지 못하도록 차단하려면 아웃바운드 규칙을 특정 Classless Inter-Domain Routing(CIDR)으로 변경합니다.

또한이 보안 그룹에는 포트 50,000의 로컬 트래픽을 동일한 보안 그룹에 속하는 모든 소스로 허용하는 인바운드 규칙이 포함되어 있습니다. 이는 컨테이너가 서로 통신할 수 있도록 하는 데 사용됩니다.

네트워크 스트레스 테스트

네트워크 스트레스 테스트 정책에 따라이 솔루션을 사용할 책임은 사용자에게 있습니다. 이 정책은 Amazon EC2 인스턴스에서 다른 Amazon EC2 인스턴스Amazon EC2, AWS 속성/서비스 또는 외부 엔드포인트와 같은 다른 위치로 직접 대용량 네트워크 테스트를 실행하려는 경우와 같은 상황을 다룹니다. 이러한 테스트를 스트레스 테스트, 로드 테스트 또는 게임데이 테스트라고도 합니다. 대부분의 고객 테스트는이 정책에 해당되지 않습니다. 그러나 1분 이상, 1Gbps(초당 10억 비트) 또는 1Gpps(초당 10억 패킷)를 초과하는 트래픽을 총 1분 이상 지속할 것으로 생각되면이 정책을 참조하세요.

퍼블릭 사용자 인터페이스에 대한 액세스 제한

IAM 및 Amazon Cognito에서 제공하는 인증 및 권한 부여 메커니즘을 넘어 퍼블릭 사용자 인터페이스에 대한 액세스를 제한하려면 AWS WAF(웹 애플리케이션 방화벽) 보안 자동화 솔루션을 사용합니다.

이 솔루션은 일반적인 웹 기반 공격을 필터링하는 AWS WAF 규칙 세트를 자동으로 배포합니다. 사용자는 AWS WAF 웹 액세스 제어 목록(웹 ACL)에 포함된 규칙을 정의하는 사전 구성된 보호 기능 중에서 선택할 수 있습니다.

MCP 서버 보안(선택 사항)

선택적 MCP 서버 통합을 배포하는 경우 솔루션은 AWS AgentCore Gateway를 사용하여 AI 에이전트의 로드 테스트 데이터에 대한 보안 액세스를 제공합니다. AgentCore Gateway는 각 요청에 대해 Amazon Cognito 인증 토큰을 검증하여 권한이 있는 사용자만 MCP 서버에 액세스할 수 있도록 합니다. MCP Server Lambda 함수는 읽기 전용 액세스 패턴을 구현하여 AI 에이전트가 테스트 구성 또는 결과를 수정하지 못하도록 합니다. 모든 MCP 서버 상호 작용은 웹 콘솔과 동일한 권한 경계 및 액세스 제어를 사용합니다.