AWS 보안 그룹

오늘 동영상에서는 AWS 보안 그룹을 간략하게 소개합니다. AWS 클라우드의 보안은 Amazon Web Services에서 가장 중요합니다. 또한 AWS 클라우드에서 데이터를 안전하게 보호할 수 있는 여러 강력한 보안 옵션을 제공합니다. 제가 이야기하고자 하는 기능 중 하나는 보안 그룹입니다.

보안 그룹이란

AWS에서 보안 그룹은 가상 서버를 위한 내장된 방화벽과 같은 역할을 합니다. 보안 그룹을 통해 인스턴스에 얼마나 쉽게 액세스할 수 있는지 완벽하게 제어할 수 있습니다. 가장 기본적인 수준의 경우 인스턴스로 트래픽을 필터링하는 또 다른 방법입니다.

이 보안 그룹은 어떤 트래픽을 허용할지 거부할지 제어할 수 있습니다. 인스턴스에 액세스할 수 있는 사용자를 결정하려면 보안 그룹 벽을 구성해야 합니다. 규칙은 인스턴스를 완전히 비공개적으로, 공개적으로 또는 그 중간으로 유지하는 것까지 다를 수 있습니다.

예시

다음은 AWS 멀티 티어 보안 그룹의 예시입니다. 이 아키텍처에서는 이 멀티 티어 웹 아키텍처를 수용하기 위해 여러 보안 그룹이 생성된 것을 알 수 있습니다. 웹 티어부터 시작하면 인터넷 어디에서나 웹 트래픽을 허용하는 규칙을 설정한 것을 알 수 있습니다. HTTP는 포트 80이고 HTTPS는 포트 443입니다. 인터넷 어디에서나 트래픽을 수용하기 위해 0.0.0.0/0 소스를 선택했습니다.

다음으로 앱 티어로 이동하면 웹 티어의 트래픽만 허용하는 보안 그룹이 있으며, 마찬가지로 데이터베이스 티어도 앱 티어의 트래픽만 수용할 수 있습니다.

마지막으로 SSH 포트 22를 통해 회사 네트워크에서 원격으로 관리할 수 있도록 생성된 규칙이 있음을 알 수 있습니다.

콘솔에서 보안그룹 생성

이제 콘솔로 전환하여 보안 그룹을 생성하는 방법을 살펴보겠습니다. 여기에서 AWS Management Console에 로그인하고 EC2를 클릭합니다. 탐색 창의 네트워크 및 보안 아래 보안 그룹이 있습니다. 클릭해 보겠습니다.

이제 계정에 속한 보안 그룹 목록을 볼 수 있습니다. 보안 그룹을 생성하기 위해 보안 그룹 생성을 클릭하면 팝업 창이 표시됩니다. 이 창에서 이름, 설명 및 마지막으로 몇 가지 규칙을 만들 수 있음을 알 수 있습니다.

다음으로 규칙을 따라가면 기본적으로 모든 인바운드 트래픽이 거부되고 모든 아웃바운드 트래픽이 허용됩니다. 편집하려면 인바운드 및 아웃바운드 탭을 클릭하여 규칙을 조정하면 됩니다. 트래픽 유형, 프로토콜, 포트 범위 및 소스별로 편집 할 수 있습니다.

모범 사례는 인스턴스에 필요한 트래픽을 파악하고 해당 트래픽만 특별히 허용하는 것입니다.

데모

웹 서버 보안 그룹을 생성해 보겠습니다. 이름의 경우 보안 그룹에 web server sg를 입력하고 설명하기 위해 웹 트래픽을 허용합니다. 또한 이전 예제와 마찬가지로 HTTP 및 HTTPS 트래픽을 허용하려고 합니다.

유형은 HTTP를 선택합니다. 소스의 경우 모든 IP 주소를 나타내는 0.0.0.0/0이 다시 있습니다. 전체 인터넷을 허용하려고 합니다. IPV6에 해당하는 것도 있는데요. HTTP 규칙을 추가합니다.

그리고 추가할 규칙이 또 있죠. HTTPS입니다. 다시 포트 443에서 전체 인터넷을 허용하려고 합니다. 이제 계속 진행하여 생성을 클릭합니다.

이제 새로운 웹 서버 보안 그룹이 생성된 것을 알 수 있습니다.

요약

지금까지 논의한 걸 살펴보겠습니다. AWS는 보안 그룹이라는 하나 이상의 인스턴스 트래픽을 제어할 수 있는 가상 방화벽을 제공합니다. 보안 그룹 규칙을 생성하여 인스턴스에 대한 네트워크 액세스 가능 여부를 제어할 수 있습니다. 보안 규정 준수를 위해서는 적절한 보안 그룹을 설계해야 합니다. 보안 규정 준수는 이 교육의 뒷부분에서 자세히 다룹니다.