◇ 공부 기록용으로 작성하였으니 틀린 점, 피드백 주시면 감사하겠습니다 ◇
VPN (Virtual Private Network)
VPN은 한국말로 가상 사설망이라고 한다.
쉽게 설명하면 인터넷 망에서 논리적으로 직접 연결한 것과 같은 전용망을 만들어 연결하는 기술이다.
이렇게 직접 연결한 것같이 만드는 통로를 터널(Tunnel)이라고 한다.
인터넷은 모두가 사용하는 공간이기 때문에 보안에 취약하다 (해킹 가능성이 있다.)
그래서 다른 서버에 접속할 경우 VPN 기술을 통해 암호화한 터널을 만들어서 통신하면 보안을 강화시킬 수 있다.
AWS VPN
AWS에는 2가지 VPN 서비스가 있다. 둘 다 인터넷을 사용한다.
| 1. Site-to-Site VPN |  |
두 개의 고정된 네트워크를 VPN 연결 (이름 그대로 거점과 거점을 이어준다) 즉, VPN으로 연결된 거점의 네트워크를 거쳐야만 통신이 가능하다. ex) 주로 기업의 본사와 지사 간, 또는 데이터 센터 간 연결을 위해 사용 |
| 2. Client VPN |  |
개인 사용자(client)가 원격으로 AWS 네트워크에 직접적으로 VPN 연결 AWS 환경의 Client VPN Endpoint에 연결할 수 있는 인증서만 가지고 있다면 어디서든 연결이 가능 ex) 재택근무, 출장을 위한 접속 |
비교 요약
| 특징 | Site-to-Site VPN | Client VPN |
| 주요 목적 | 네트워크 간 연결 (온프레미스 ↔ AWS Cloud) | 사용자와 AWS Cloud 간 연결 |
| 연결 방식 | 1-to-1 | N-to-1 |
| 연결 대상 | (기업) 네트워크 전체 | 개인 사용자 (individual users) |
| 예시 | 데이터 센터 간 연결, 하이브리드 클라우드 | 재택 근무자, 외부 협력업체 |
| 보안 프로토콜 | IPsec | SSL |
AWS Site-to-Site VPN
AWS Site-to-Site VPN 접속 패턴
- 일반적으로 1-to-1 구성 :🏢기업 네트워크(온프레미스) ⇄ ☁️AWS 클라우드
- VPN tunnel을 통해 안전하고 암호화된 연결을 제공한다.
- 기업 네트워크쪽에도 AWS 클라우드 쪽에도 VPN을 위한 Gateway가 필요하다
- 온프레미스 측: Customer Gateway (고객 디바이스에 대한 정보를 AWS에 제공하는 AWS 리소스)
고가용성을 유지하려면 사용자가 직접 이중화해야 한다. - AWS 클라우드 측: 장비 장애에 대비한 고가용성을 유지하기 위해 AWS 측에서 이중화되어 있다.
- Virtual Private Gateway : 단일 VPC에 연결
- Transit Gateway : 여러개의 VPC에 연결
- 온프레미스 측: Customer Gateway (고객 디바이스에 대한 정보를 AWS에 제공하는 AWS 리소스)
- 기본적으로 연결하는 양쪽은 같은 configuration이어야 한다.
- 양쪽 모두 Fixed IP address를 갖는다.
- [요금]
- 연결 요금: 시간당 0.05 USD
- 데이터 송신 요금: 처음 100GB는 무료, 추가되는 GB당 0.09 USD
How AWS Site-to-Site VPN works - AWS Site-to-Site VPN
Thanks for letting us know this page needs work. We're sorry we let you down. If you've got a moment, please tell us how we can make the documentation better.
docs.aws.amazon.com
참고자료: https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html
What is AWS Site-to-Site VPN? - AWS Site-to-Site VPN
What is AWS Site-to-Site VPN? By default, instances that you launch into an Amazon VPC can't communicate with your own (remote) network. You can enable access to your remote network from your VPC by creating an AWS Site-to-Site VPN (Site-to-Site VPN) conne
docs.aws.amazon.com
AWS Client VPN
AWS Client VPN 접속 패턴
Client-to-Site VPN
- 일반적으로 N-to-1 구성
- N명의 유저(clients)는 1개의 서버에 연결한다.
- 개인 유저는 VPN client 소프트웨어를 개인의 컴퓨터나 스마트폰에 설치하여 AWS VPC에 접속할 수 있다.
- OpenVPN (오픈 소스 VPN)를 사용
- Client VPN는 유저의 디바이스와 AWS VPC을 안전하고 암호화된 연결을 제공한다.
- 기본적으로 연결하는 양쪽은 다른 configuration이다.
- 유저(clients)는 fixed IP address가 필요 없다.
- 오직 유저(clients)만 연결을 시작할 수 있다. (서버는 유저의 현재 IP를 모르기 때문에)
- 유저당 하나의 IP만 라우팅한다. (BGP or OSPF는 서포트하지 않는다.)
- 연결은 VPN endpoint를 통해서 설치된다.
- VPN endpoint는 VPC에 연결하는 가상 디바이스이며 VPN termination point로써 제공한다.
- Client VPN에서 Admin 관리자는 유저가 어떤 리소스에 접근할 수 있을지 컨트롤한다.
- Client VPN는 일반적으로 VPN안에 특정 리소스에 접근해야 하는 재택근무자나 외부 협력업체에게서 사용된다.
🤔 SAA-C03 문제
AWS VPN에서 VPN 터널의 네트워크 트래픽 정보를 수집하려면 어떤 기능을 이용해야 할까요?
- AWS Trusted Advisor
- VPC Flow Log
- AWS CloudTrail
- Amazon CloudWatch
정답
정답. 4번 Amazon CloudWatch
VPN 터널을 경유한 네트워크 트래픽 정보는 Amazon CloudWatch에서 수집할 수 있다.
CloudWatch에는 지정한 Virtual Private Gateway의 VPN 터널 상태와 송수신한 바이트 수가 기록된다.
VPN 터널 상태를 CloudWatch에서 모니터링하면 VPN 터널에 이상이 발생했을 때 경고를 발생시킬 수 있다.
오답
VPC Flow Log
VPC 내의 ENI(Elastic Network Interface)에서 통신하는 네트워크 트래픽 정보를 캡처하는 기능이다. VPC 외의 네트워크 트래픽 정보는 수집 대상이 아니므로 오답.
AWS CloudTrail
AWS 계정이 AWS 서비스에 대해 어떤 작업을 수행했는지를 기록하는 서비스이다. 네트워크 트래픽 정보를 수집하는 서비스가 아니므로 오답.
AWS Trusted Advisor
사용자의 AWS 환경을 베스트 프랙티스와 비교하여 권장되는 작업을 조언하는 서비스이다. 네트워크 트래픽 정보를 수집하는 서비스가 아니므로 오답
