[따라하며 배우는 AWS 네트워크 입문] 정리 & 실습 과정 - 07장 네트워크 보안
카테고리: DEVOCEAN YOUNG
📚 [따라하며 배우는 AWS 네트워크 입문] 책 가이드
위 책에 대한 정리와 실습 과정을 담았습니다.
1. 보안 그룹과 네트워크 ACL
접근 제어는 대상을 식별 → 인증을 통해 적합한지 판단 → 정책에 따라 허용, 거부, 제한 허용 등의 권한을 부여한다.
그렇다면
네트워크입장에서는무엇을 기준으로 대상을 식별할까?
바로IP 주소, 프로토콜과 포트 번호로 식별할 수 있다!
AWS에서는 네트워크 인프라 보호를 위한 트래픽 제어 정책으로
- 보안 그룹 (Security Group)
- 네트워크 ACL (Network Access Control List)
을 활용한다.
트래픽의 방향성에 따라 인바운드 규칙 (Inbound Rule), 아웃바운드 규칙 (Outbound Rule)으로 나뉘며,
방향의 기준은 AWS 인프라 입장이다.
- 외부 대상
→AWS 인프라 로 들어오는 방향 : 인바운드 규칙 - 외부 대상
←AWS 인프라 의 방향 : 아웃바운드 규칙
그렇다면 보안 그룹과 네트워크 ACL 의 차이점은 무엇일까?
2. 보안 그룹과 네트워크 ACL 차이점
크게 3가지로 나뉜다.
1. 트래픽 제어 대상
| 보안 그룹 | 네트워크 ACL |
|---|---|
| 인스턴스 레벨 ex) EC2 인스턴스, ALB |
서브넷 레벨 |
2. Stateful vs Stateless
| 보안 그룹 | 네트워크 ACL |
|---|---|
| Stateful | Stateless |
보안 그룹은 인바운드로 들어오는 트래픽에 대해 허용하면, 그 상태를 기억하고 있어
아웃바운드로 되돌아가는 것은(리턴 트래픽) 아웃바운드 규칙에 상관없이 허용 ⭕️
반면 네트워크 ACL은 인바운드 규칙에 따라 허용해도 그 상태는 상관없이
아웃바운드로 되돌아갈 때 아웃바운드 규칙에 따라 허용 ⭕️ / 거부 ❌를 결정
3. 허용/거부 규칙
| 보안 그룹 | 네트워크 ACL |
|---|---|
| 허용 규칙만 존재 | 허용/거부 둘 다 존재 |
보안 그룹의 규칙은 지정된 대상과 매칭⭕️ → 허용⭕️, 매칭❌ → 거부❌
네트워크 ACL의 규칙은 순서를 확인하기 위한 시퀀스 넘버가 존재하며 순차적으로 확인한다.
각 규칙 별로 대상의 허용⭕️과 거부❌를 지정할 수 있다.
매칭되는 대상이 있으면 하위 규칙을 더 이상 확인하지 ❌!
3. IAM
AWS 첫 화면을 보면 아래와 같이 두 가지 방식으로 로그인할 수 있다.
여기서 과연 IAM이란 무엇일까??
보안 체계에서 가장 취약한 부분은 내부에 있다시피 사용자에 대한 접근 제어와 관리가 필수적!
AWS IAM (Identity & Access Management) 은
AWS 서비스와 리소스에 대한 액세스를 안전하게 관리하는 기능이다.
AWS 사용자 및 그룹을 만들고 관리하거나 권한을 통해 AWS 리소스에 대한 액세스를 허용하거나 거부할 수 있다.
1. IAM 세부 요소
-
IAM 사용자
AWS 서비스와 상호 작용하는사람또는서비스를 나타낸다. 최초에는 권한 없이 시작하여 직무 요구 사항에 따라 권한을 받는다. -
IAM 그룹
IAM 사용자들의모임동일한 직무를공유하는 그룹에 대한권한을 지정하는 데 사용할 수 있으므로 관리의 편의성을 제공한다.
2. IAM 정책
AWS의 리소스에 대해 어떤 대상이 어떤 Action을 수행할 수 있는지 공식적으로 정의하는 것
IAM 정책의 보안 주체에 따라 자격 기반의 정책과 리소스 기반의 정책으로 구분
- 자격 기반 정책 : 사용자, 그룹, 역할 이 수행할 수 있는
Action을 지정 - 리소스 기반 정책 : AWS S3, SNS, SQS 등과 같은
리소스가 수행할 수 있는Action을 지정
[ IAM 정책 구성 요소 ]
IAM 정책은 JSON 형식으로 구성되며, 가장 제한적인 정책을 우선시한다.
Effect : 접근을 허용하거나 거부를 정의
Principal : 누가 어떤 것을 수행할 수 있는지 정의
Action : 무엇을 할 수 있는지 정의
Resource : 정책이 적용되는 리소스가 무엇인지 정의
Condition : 정책이 적용되는 조건이 무엇인지 정의
3. IAM 주요 기능
- 강화된 보안
- 세부적인 제어 관리
- 임시 자격 증명
- 액세스 분석
- 외부 자격 증명 활용
댓글남기기