Amazon VPC (Virtural Private Cloud)

Amazon VPC(Amazon Virtual Private Cloud)
Amazon VPC(Virtual Private Cloud)는 논리적으로 격리된 상태의 네트워크에서 사용자가 AWS 자원을 사용할 수 있게 해주는 서비스이다. IP 주소 범위 선택, subnet 생성, 라우팅 테이블 및 네트워크 게이트웨이 구성 등 가상 네트워크 환경을 완벽하게 구현할 수 있다. 자원, 애플리케이션에 대해 쉽게 접근할 수 있도록 IPv4, IPv6를 VPC 내 대부분의 리소스에 대해 사용할 수 있다. AWS의 기본 서비스인 Amazon VPC는 사용자 VPC 네트워크 구성을 쉽게 사용자 지정하도록 지원한다. 인터넷에 접근할 수 있는 웹 서버를 위해 public subnet을 생성할 수 있다. 또한 인터넷 접근이 없는 private subnet 데이터베이스나 애플리케이션 서버 같은 back-end 시스템을 배치하도록 지원한다. Amazon VPC를 사용하면 보안 그룹 및 네트워크 접근 제어 목록을 포함한 다중 보안 계층을 사용하여 각 subnet에서 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 대한 접근을 제어하도록 지원할 수 있다.
Amazon VPC 기능
Amazon Virtual Private Cloud(Amazon VPC)에서는 VPC에 대한 보안을 강화하고 모니터링할 수 있는 흐름로그, IP 주소 관리자, IP주소 지정, 수신 라우팅, 네트워크 접근 분석기, 네트워크 접근 제어 목록, Reachability Analyzer, 보안 그룹, Traffic Mirroring 등 기능을 제공한다.
.흐름 로그
Amazon Simple Storage Service(Amazon S3) 또는 Amazon CloudWatch로 전달되는 VPC 흐름 로그를 모니터링하여 네트워크 의존성 및 트래픽 패턴에 대한 가시성을 얻고 이상을 추적하며 데이터 유출을 예방하고 네트워크 연결성 및 구성 문제를 해결할 수 있다. 흐름 로그의 보강된 메타데이터를 통해 누가 TCP 연결을 시작했는지, NAT 게이트웨이 등의 중간 계층을 통과하는 트래픽의 패킷 수준 소스 및 대상에 대해 자세히 알아볼 수 있다. 흐름 로그를 아카이브 하여 특정 규정 준수 요건을 충족하도록 지원할 수도 있다.
.IP 주소 관리자(IPAM)
IPAM을 사용하면 AWS 워크로드의 IP 주소를 더욱 쉽게 계획하고 추적하며 모니터링할 수 있다. IPAM은 Amazon VPC에 IP 주소 할당을 자동화하여 사내에서 개발했거나 스프레드시트 기반 계획 애플리케이션을 사용해야 할 필요가 없다. 또한, 통합된 운영 보기에서 여러 계정 및 VPC에 걸친 IP 사용량을 표시해 네트워크 관측 기능도 강화했다.
.IP 주소 지정
IP 주소를 사용하면 VPC의 리소스가 인터넷을 통해 서로 통신하고 리소스와 통신할 수 있다. Amazon VPC는 IPv4 및 IPv6 주소 지정 프로토콜을 모두 지원한다. VPC에서 IPv4 전용, 이중 스택 및 IPv6 전용 subnet을 생성하고 이러한 subnet에서 Amazon EC2 인스턴스를 시작할 수 있다. 또한, Amazon은 인스턴스에 퍼블릭 IP 주소를 할당할 수 있는 여러 옵션을 제공한다. Amazon에서 제공한 퍼블릭 IPv4 주소, 탄력적인 IPv4 주소 또는 Amazon에서 제공한 IPv6 CIDR의 IP 주소를 사용할 수 있다. 이 외에도 이러한 인스턴스에 할당할 수 있는 Amazon VPC 내에서 자체 IPv4 또는 IPv6 주소를 가져오는 옵션이 있다.
.수신 라우팅
이 기능을 사용하면 인터넷 게이트웨이 또는 가상 프라이빗 게이트웨이 간 모든 발신 트래픽을 특정 Amazon EC2 인스턴스의 탄력적 네트워크 인터페이스로 라우팅할 수 있다. 모든 트래픽을 비즈니스 워크로드에 도달하기 전에 게이트웨이 또는 Amazon EC2 인스턴스로 보내도록 가상 사설 클라우드를 구성한다.
.네트워크 접근 분석기와 접근제어 목록
네트워크 접근 분석기에서는 보안 및 규정 준수 요구 사항을 지정하고, 지정된 요구 사항을 충족하지 않는 무단 네트워크 접근을 식별한다. 네트워크 접근 분석기를 사용하면 AWS 기반 네트워크가 사용자의 보안 및 규정 준수 요구 사항을 준수하도록 보장할 수 있다. 네트워크 접근 분석기를 사용하여 리소스에 대한 네트워크 접근을 파악할 수 있고, 이를 통해 클라우드 보안 태세에 대한 개선 사항을 식별하고 규정 준수를 손쉽게 시연할 수 있다. 네트워크 접근 제어 목록(네트워크 ACL)은 VPC를 위한 선택적 보안 계층으로, 하나 이상의 subnet으로 출입하는 트래픽을 제어하는 방화벽 역할을 수행한다. 보안 그룹의 규칙과 비슷한 규칙을 사용하여 네트워크 ACL을 설정할 수 있다.
.보안 그룹
보안 그룹은 방화벽과 유사한 기능을 하고 ENI 인스턴스에 대한 트래픽의 유입과 유출을 허용하거나 거부하는 방식으로 인스턴스의 트래픽을 제어한다. 모든 ENI는 하나 이상의 보안 그룹과 연결되어야 하고 각각의 ENI는 여러 보안 그룹과 또는 각각의 보안그룹이 여러 ENI 인스턴스와도 연결할 수 있다. 그러나 대부분의 경우는 하나의 ENI만 연결해서 사용한다.
보안 그룹 생성 시에는 보안 그룹 이름, 보안 그룹 설명, 보안 그룹이 포함될 VPC를 지정한다. 보안 그룹 생성 후에는 인바운드 및 아웃바운드 규칙을 지정해서 트래픽의 허용 여부를 결정할 수 있다. 인바운드 규칙은 ENI에 유입되는 트래픽의 허용 여부를 결정하고 소스, 프로토콜, 포트 범위 이렇게 3가지의 필수 요소를 갖는다. 아웃바운드 규칙은 ENI에서 유출되는 트래픽의 허용 여부를 결정하고 대상 주소, 프로토콜, 포트 범위 이렇게 3가지 필수 요소를 지닌다.
.Traffic Mirroring
Traffic Mirroring은 VPC를 통해 흐르는 네트워크 패킷에 대한 직접 접근을 제공한다. Traffic Mirroring은 Amazon EC2 인스턴스의 네트워크 인터페이스에서 트래픽을 복사 후 심층 패킷 조사를 위해 대역 외 보안 및 모니터링 어플라이언스로 전송할 수 있다. 네트워크와 보안 이상을 감지 후 운영 인사이트를 확보하며 규정 준수 및 보안 제어를 실시하고 문제를 해결할 수 있다.