Amazon VPC의 인터네트워크 트래픽 프라이버시 AWS는 VPC의 보안을 강화하고 모니터링하는데 사용할 수 있는 여러가지 기능을 제공한다. 보안그룹 보안그룹은 연결된 Amazon EC2 인스턴스에 대한 방화벽 역할을 수행하여 인스턴스 수준에서 인바운드 트래픽과 아웃바운드 트래픽을 모두 제어한다. 인스턴스를 시작할 대 생산한 하나 이상의 보안그룹과 인스턴스를 연결할 수 있다. 인스턴스를 시작할 때 보안그룹을 지정하지 않을 경우 VPC에 대해 인스턴스는 기본 보안그룹과 자동으로 연결된다. 네트워크 ACL 네트워크 ACL은 연결된 Subnet에 대해 방화벽 역할을 하여 Subnet 수준에서 인바운드 트래픽과 아웃바운드 트래픽을 모두 제어한다. 흐름로그 흐름로그는 VPC의 네트워크 인터페이스에서 양방향으로 ..
기본 VPC는 준비과정 없이 빠르게 시작해 블로그나 간단한 웹 사이트 같은 퍼블릭 인스턴스를 시작하는데 적합하다. 기본 VPC의 구성요소를 필요에 따라 수정할 수 있고, 필요에 따라서 VPC 자체를 새로 만들수도 있다. 기본 VPC 구성 요소 기본 VPC는 다음과 같이 생성된다. IPv4 CIDR 블록의 크기가 /16인 VPC를 만든다. 각 가용영역에 크기가 /20의 기본 Subnet을 생성한다. 인터넷 게이트웨이를 만들어 기본 VPC에 연결한다. 기본 보안그룹을 만들어 기본 VPC와 연결한다. 네트워크 ACL을 생성해 기본 VPC와 연결한다. AWS 계정에 설정된 기본 DHCP 옵션을 기본 VPC와 연결한다. 위 리소스는 사용자 대신 Amazon에서 생성하고, IAM 정책이 적용되지 않는다. 예를 들어..
VPC 및 Susbnet AWS VPC를 시작하려면 Subnet을 만들어야 한다. VPC 및 Subnet 기본 사항 VPC는 사용자의 AWS 계전 전용 가상 네트워크를 말한다. VPC는 AWS 클라우드에서 다른 가상 네트워크와 논리적으로 분리되어 있다. Amazon EC2 인스턴스와 같은 AWS 리소스를 VPC 내에서 실행시킬 수 있다. VPC를 생성할 때 VPC의 IP 주소 범위를 CIDR (/24 와같은) 형태로 지정해야 한다. VPC는 리전의 모든 가용영역에 적용된다. VPC를 만든 후 각 가용영역에 하나 이상의 Subnet을 추가할 수 있다. Subnet을 만들 때 해당 Subnet에 대한 CIDR 블록을 지정해야 한다. 각 Subnet은 단일 가용영역 내에서만 존재해야 하며, 여러 영역으로 확장..
Amazon VPC 콘솔 마법사 구성 Amazon VPC 콘솔 마법사를 사용해 다음과 같이 기본이 아닌 VPC를 구성할 수 있습니다. 단일 Public Subnet이 있는 VPC Public 및 Private Subnet이 있는 VPC - NAT Public 및 Private Subnet과 AWS Site-to-Site VPN 액세스를 제공하는 VPC Private Subnet과 AWS Site-to-Site VPN 액세스를 제공하는 VPC 단일 Public Subnet이 있는 VPC 이 구성에는 단일 Public Subnet을 가진 VPC와 인터넷을 통해 통신할 수 있게 해주는 Internet Gateway가 포함된다. 간단한 웹 사이트 같은 단일 티어의 Public Web Application을 실행..
Amazon VPC란? Amazon VPC는 Amazon EC2의 네트워크 계층이다. Amazon VPC에서 사용되는 핵심 개념은 아래와 같다. 1. Virtual Private Cloud(VPC) - 사용자의 AWS 계정 전용 가상 네트워크이다. 2. Subnet - VPC에서 사용하는 IP주소의 범위를 나타낸다. 3. Routing Table - 네트워크 트래픽을 전달할 위치를 결정하는데 사용되는 규칙 집합이다. 4. Internet Gateway - VPC의 리소스와 인터넷 간의 통신을 활성화하기 위해 VPC에 연결하는 게이트웨이이다. 5. VPC Endpoint - Internet Gateway, NAT 장치, VPN 연결, AWS Direct Connect의 연결 없이도 PrivateLink로 ..
AWS IAM의 데이터 보호 데이터를 보호하기 위해 AWS 계정의 자격증명을 보호하고, IAM을 사용해 개별 사용자 계정을 생성해 관리하는 것이 좋다. 여기서 개별 사용자 계정에 필요한 권한만 부여하게 된다. 또한 다음과 같은 방법으로 데이터를 보호해야 한다. 각 IAM 계정마다 MFA를 사용한다. SSL/TLS를 사용해 AWS Resource와 통신한다. AWS CloudTrail을 사용해 API 및 사용자 로깅을 수행한다. AWS 암호화 솔루션을 AWS 서비스 내의 모든 기본 보안 컨트롤과 함께 사용한다. Amazon S3에 저장된 개인 데이터를 검색하고 보호하고자 Amazon Macie와 같은 고급 관리형 보안 서비스를 사용한다. AWS CLI, API를 통해 AWS에 접근할 때 FIPS 140-2..