[AWS 보안] Network Firewall 이란? 쉽게 정리 (VPC를 위한 고급 방화벽: Traffic Filter & Inspection, 침입 방지 시스템(IPS), 도메인 네임 기반 필터링)

◇  공부 기록용으로 작성하였으니 틀린점, 피드백 주시면 감사하겠습니다 ◇

 

참고) SAA 문제:

어느 회사에서, 프라이빗 서브넷 내의 EC2 인스턴스에서 데이터 분석 애플리케이션을 호스팅하고 있습니다. 이 애플리케이션은 인터넷에 공개된 외부 API에 정기적으로 접근하여 기상 정보 데이터를 얻습니다. 현재 회사에서는 네트워크 보안 강화를 요구하고 있으며, 인터넷을 통한 통신에 대해서는 API와 EC2의 애플리케이션 간의 통신만 허용하고자 합니다. 이러한 요구 사항을 충족시키는 방법은 무엇일까요?

1. AWS Network Firewall을 구성하여, API와의 통신만 허용하는 도메인 이름 필터링 규칙을 작성합니다. 프라이빗 서브넷에서의 아웃바운드 통신이 Network Firewall을 경유하도록 라우팅 테이블을 수정합니다.
2. EC2 인스턴스의 보안 그룹에서 API의 URL과의 인바운드 및 아웃바운드 통신만 허용하도록 설정합니다.
3. AWS Firewall Manager를 사용하여, VPC를 출입하는 모든 네트워크 트래픽을 검사합니다. 지정된 URL과 인터넷 게이트웨이 간의 통신만 허용하는 방화벽 설정을 합니다.
4. AWS Shield Advanced를 구성하여, API와의 통신 외 모든 네트워크 트래픽을 차단하는 규칙을 작성합니다.

정답 & 오답

정답.  1번

AWS Network Firewall을 구성하여, API와의 통신만 허용하는 도메인 이름 필터링 규칙을 작성합니다. 프라이빗 서브넷에서의 아웃바운드 통신이 Network Firewall을 경유하도록 라우팅 테이블을 수정합니다.

 

2번 오답 이유:
보안 그룹을 사용하여 IP 주소나 포트를 기반으로 인바운드 및 아웃바운드 통신을 제어할 수는 있지만, URL이나 도메인 이름을 지정하여 제어할 수는 없기 때문에 잘못된 선택입니다.

3번 오답 이유:
AWS Firewall Manager는 여러 AWS 계정과 서비스를 대상으로 방화벽 규칙을 일관되게 설정 및 관리하는 보안 관리 서비스이지만, 자체적으로 네트워크 트래픽을 제어하는 기능이 없기 때문에 잘못된 선택입니다.

4번 오답 이유:  
AWS Shield는 DDoS 공격으로부터 보호하는 데 특화된 서비스로, 네트워크 트래픽을 제어하는 기능이 없기 때문에 잘못된 선택입니다.

 

Network Firewall

 

AWS Network Firewall

Network Firewall는 VPC를 위해 방화벽 기능을 제공하는 완전 관리형 서비스이다.

https://aws.amazon.com/blogs/aws/aws-network-firewall-new-managed-firewall-service-in-vpc/

 

• Network Firewall는 VPC를 위한 방화벽 기능을 제공한다
• Network Firewall는 Security Group이나 NACL보다 더 고급 기능을 갖추고 있다.
• 침입 방지 시스템(IPS)과 도메인 이름(Domain Name)을 통한 트래픽 필터링이 가능하다
• Network Firewall는 VPC에서 Inbound와 Outbound의 트래픽 검사(Traffic Inspection)를 할 수 있다. 세밀한 통신 제어가 가능하다
  • 예시1) 특정 도메인 이름을 포함한 URL에 대한 접근만을 허용
  • 예시2) 특정 출발지에서 오는 트래픽을 제외한 모든 트래픽을 차단
• 허가/차단하는 트래픽을 규칙별로 정의하기 때문에 FortiGate, PaloAlto와 같이 유연하게 트래픽 필터링(traffic filtering) 가능하다.

Security Group 이나 NACL보다 더 고급기능을 갖추고 있다.

예시) 침입 방지 시스템 (IPS, Intrusion Prevention System)

예시) 도메인 이름에 따른 트래픽 필터링

 

 

주요 기능

1. 규칙(Rule) 설계 
   • Stateful: 연결 상태를 추적하여 세션의 시작부터 끝까지 모든 패킷을 검사하여 트래픽을 허용한다.
   • Stateless: 패킷의 각 부분을 개별적으로 검사하고, 규칙 기반으로 필터링한다.
2. 침입 탐지 및 방지 시스템 (IDS/IPS)
   • 침입 탐지 시스템 (IDS): 네트워크 트래픽을 모니터링하고 잠재적인 위협을 감지한다.
   • 침입 방지 시스템 (IPS): 악성 트래픽을 차단하고, 네트워크 위협으로부터 보호한다.
3. 도메인 기반 필터링
   • DNS 트래픽을 필터링하여, 특정 도메인에 대한 접근을 허용하거나 차단할 수 있다.

 

---

🤨 SAA 문제

한 회사가 최근 AWS로 마이그레이션을 완료했으며, 프로덕션 VPC로 들어오고 나가는 트래픽을 보호하기 위한 솔루션을 구현하려고 합니다. 이 회사는 온프레미스 데이터 센터에 트래픽 흐름 검사와 트래픽 필터링과 같은 특정 작업을 수행하는 검사 서버를 운영했습니다. 회사는 동일한 기능을 AWS 클라우드에서 구현하기를 원합니다.
다음 중 이 요구 사항을 충족할 솔루션은 무엇입니까?

 

1. Amazon GuardDuty를 사용하여 프로덕션 VPC에서 트래픽 검사와 트래픽 필터링을 수행합니다.
2. 트래픽 미러링(Traffic Mirroring)을 사용하여 프로덕션 VPC의 트래픽을 미러링하고 트래픽 검사 및 필터링을 수행합니다.
3. AWS Network Firewall을 사용하여 프로덕션 VPC의 트래픽 검사 및 트래픽 필터링을 위한 필요한 규칙을 만듭니다.
4. AWS Firewall Manager를 사용하여 프로덕션 VPC의 트래픽 검사 및 트래픽 필터링을 위한 필요한 규칙을 만듭니다.

 

정답 & 오답

정답. 3번

AWS Network Firewall을 사용하여 프로덕션 VPC의 트래픽 검사 및 트래픽 필터링을 위한 필요한 규칙을 만듭니다.

AWS Network Firewall은 관리형 방화벽 서비스로, 들어오고 나가는 네트워크 트래픽에 대한 필터링을 제공한다.

트래픽 검사와 필터링을 위한 규칙을 만들 수 있어, 프로덕션 VPC를 보호하는 데 도움이 된다.

1번 오답: Amazon GuardDuty는 위협 탐지 서비스이지, 트래픽 검사나 필터링 서비스를 제공하지 않는다.

2번 오답: 트래픽 미러링(Traffic Mirroring)은 VPC에서 네트워크 트래픽의 복사본을 다른 VPC나 온프레미스 위치로 복제하여 전송하는 기능이다 트래픽 검사나 필터링을 수행하는 서비스는 아니다.

4번 오답: AWS Firewall Manager는 방화벽을 중앙에서 구성하고 관리할 수 있게 도와주는 보안 관리 서비스이다. 트래픽 검사나 필터링을 수행하는 서비스는 아니다.