Cloud Security(2)

2. 네트워크

외부 인터넷 환경과 직접적으로 맞닿아 있는 네트워크 영역에서의 보안

 

물리적인 네트워크 장비가 가상화 기반으로 서비스 -> 사용자는 더 쉽고 빠르게 네트워크 보안 서비스를 설정하고 적용영역의 범위도 늘리거나 줄이기 쉬움

 

2-1. 가상 사설 클라우드(VPC)

클라우드 사용자가 직접 정의하는 가상의 개인 네트워크

다른 가상 사설 클라우드와 논리적으로 구분되어 있어 독립된 격리 네트워크망 구성이 가능

최초 클라우드 자원을 생성하기 전에, 가상 사설 클라우드를 생성하고 비즈니스 특성에 맞는 사설 IP 주소 범위를 설정해 네트워크 구성이 가능함

 

2-2. 서브넷(subnet)

VPC에서 IP 주소 범위를 설정해서 원하는 자원을 구성할 수 있는 작은 네트워크망

Region에서 AZ을 선택해 CIDR 표기법을 활용해 구성한 네트워크망

• 서브넷 세분화

 

2-3. 접근제어 목록(ACL)

외부 네트워크에서 사용자의 네트워크를 통과하는 경우, IP 주소와 포트 번호, 프로토콜 등을 확인해 네트워크 패킷 통과를 허가하거나 거부하는 목록(일종의 방화벽 역할)

But, 방화벽처럼 세세한 영역이 아닌, 사용자 네트워크의 서브넷에 관여하는 커다란 방화벽

인바운드: 외부 -> 내부(클라우드)
아웃바운드: 내부(클라우드) -> 외부
blocklist(blacklist): 거부 목록을 설정하는 것
allowlist(whitelist): 허용 목록을 설정하는 것

 

2-4. 방화벽

VPC내에서 허용된 IP와 포트만 통과시키는 보안 서비스

OSI 7계층 중에서 네트워크 계층과 전송 계층 수준의 필터링을 수행함

방화벽은 트래픽의 상태정보를 저장할 수 있는 Stateful 속성을 가져 인바운드 규칙과 반대되는 아웃바운드 규칙을 대칭해서 구성할 필요가 없음

ex) Inbound 규칙의 모든 IP에서 443 port로 들어온다고 가정 -> 443 port로 들어온 패킷은 인바운드 규칙에 따라 응답 결과를 가지고 리턴할 수 있음 -> 리턴을 위해 아웃바운드 규칙에 443 port를 따로 작성할 필요가 없음!

 

2-5. 네트워크 구간 암호화

외부 인터넷망에 존재하는 사용자와 클라우드 자원 간에 통신을 하기 위해 네트워크 구간에 전송되는 패킷 단위 데이터를 암호화하는 'TLS 통신' 수행

 

2-6. 가상 사설 네트워크(VPN)

클라우드 환경의 자원과 외부 인터넷 환경의 자원 간에 데이터 전송되거나 API 호출이 발생하는 등의 인터페이스가 발생

-> 양쪽 네트워크 구간에 가상의 논리적 네트워크 사설망 구축

암호화 통신과 외부에서의 임의적 침입을 방지하는 가상의 전용 네트워크망 구성

 

2-7. IDS/IPS

 

2-8. DDoS 방지 서비스