Direct Connect를 사용한 프라이빗 IP AWS Site-to-Site VPN
프라이빗 IP VPN을 사용하면 Direct Connect를 통해 IPsec VPN을 배포하여 퍼블릭 IP 주소나 추가 서드 파티 VPN 장비 없이도 온프레미스 네트워크와 AWS 간의 트래픽을 암호화할 수 있습니다.
Direct Connect를 통한 프라이빗 IP VPN의 주요 사용 사례 중 하나는 금융, 의료 및 정부 부문 고객이 규제 및 규정 준수 목표를 달성하도록 돕는 것입니다. Direct Connect를 통한 프라이빗 IP VPN을 사용하면 AWS와 온프레미스 네트워크 간의 트래픽이 프라이빗 연결로 안전하게 제공되므로 고객이 규제 및 보안 규정을 준수할 수 있습니다.
프라이빗 IP VPN의 이점
-
간소화된 네트워크 관리 및 운영: 프라이빗 IP VPN이 없으면 고객은 Direct Connect 네트워크를 통해 프라이빗 VPN을 구현하기 위해 서드 파티 VPN과 라우터를 배포해야 합니다. 프라이빗 IP VPN 기능을 사용하면 고객이 자체 VPN 인프라를 배포하고 관리할 필요가 없습니다. 따라서 네트워크 운영이 간소화되고 비용이 절감됩니다.
-
보안 태세 강화: 이전에는 고객이 Direct Connect를 통한 트래픽 암호화를 위해 퍼블릭 Direct Connect 가상 인터페이스(VIF)를 사용해야 했으며, 이렇게 하려면 VPN 엔드포인트에 대한 퍼블릭 IP 주소가 필요합니다. 퍼블릭 IP를 사용하면 외부의 DOS 공격 가능성이 높아져 고객이 네트워크 보호를 위해 추가 보안 장비를 배포해야 합니다. 또한 퍼블릭 VIF를 사용하면 모든 AWS 퍼블릭 서비스와 고객 온프레미스 네트워크 간의 액세스가 가능하므로 위험의 심각도가 높아집니다. 프라이빗 IP VPN 기능을 사용하면 Direct Connect 전송 VIF(퍼블릭 VIF 대신)를 통한 암호화가 가능하며 프라이빗 IP를 구성할 수도 있습니다. 암호화 외에도 엔드 투 엔드 프라이빗 연결이 구현되어 전반적인 보안 태세가 개선됩니다.
-
더 많은 경로 규모: Direct Connect를 단독으로 사용할 경우 현재 아웃바운드 경로 200개와 인바운드 경로 100개로 제한되는 데 비해 프라이빗 IP VPN 연결은 더 높은 경로 한도(아웃바운드 경로 5000개 및 인바운드 경로 1000개)를 제공합니다.
프라이빗 IP VPN의 작동 방식
프라이빗 IP Site-to-Site VPN은 Direct Connect 전송 가상 인터페이스(VIF)를 통해 작동합니다. Direct Connect 게이트웨이와 전송 게이트웨이를 사용하여 온프레미스 네트워크를 AWS VPC와 상호 연결합니다. 프라이빗 IP VPN 연결에는 AWS 측의 전송 게이트웨이와 온프레미스 측의 고객 게이트웨이 디바이스에 종단 지점이 있습니다. IPsec 터널의 전송 게이트웨이와 고객 게이트웨이 디바이스 종단 모두에 프라이빗 IP 주소를 할당할 수 있습니다. RFC1918 또는 RFC6598 프라이빗 IPv4 주소 범위에서 프라이빗 IP 주소를 사용할 수 있습니다.
전송 게이트웨이에 프라이빗 IP VPN을 연결합니다. 그런 다음 VPN 연결과 전송 게이트웨이에도 연결된 모든 VPC(또는 기타 네트워크) 간에 트래픽을 라우팅합니다. 이를 위해 라우팅 테이블을 VPN에 연결하면 됩니다. 반대 방향으로 VPC에 연결된 라우팅 테이블을 사용하여 VPC에서 프라이빗 IP VPN 연결로 트래픽을 라우팅할 수 있습니다.
VPN에 연결된 라우팅 테이블은 기본 Direct Connect에 연결된 라우팅 테이블과 같거나 다를 수 있습니다. 이를 통해 VPC와 온프레미스 네트워크 간에 암호화된 트래픽과 암호화되지 않은 트래픽을 동시에 라우팅할 수 있습니다.
VPN을 떠나는 트래픽 경로에 대한 자세한 내용은 Direct Connect 사용 설명서의 프라이빗 가상 인터페이스 및 전송 가상 인터페이스 라우팅 정책을 참조하세요.
