새발블로그
[AWS SAA] 네트워크 본문

VPC
핵심 개념
- VPC는 AWS 내에서 논리적으로 격리된 가상 네트워크
- EC2, RDS, ElastiCache, 내부 ALB 등 네트워크 기반 리소스를 배치하는 기본 네트워크 공간
- VPC의 IPv4 CIDR 블록은 /16부터 /28 범위에서 생성 가능
- 서브넷의 IPv4 CIDR 블록도 /16부터 /28 범위에서 생성 가능
- 하나의 서브넷은 하나의 AZ에만 속함
- 하나의 서브넷이 여러 AZ에 걸칠 수는 없음
- 하나의 AZ 안에 여러 개의 서브넷을 만들 수 있음
- VPC와 온프레미스 데이터센터를 연결할 때는 IP 주소 대역이 겹치지 않도록 설계해야 함
- VPC 생성 후 기본 CIDR은 변경할 수 없으므로, 처음부터 충분한 IP 대역을 고려하는 것이 중요
사설 IPv4 대역
| 대역 | 범위 |
| 10.0.0.0/8 | 10.0.0.0 ~ 10.255.255.255 |
| 172.16.0.0/12 | 172.16.0.0 ~ 172.31.255.255 |
| 192.168.0.0/16 | 192.168.0.0 ~ 192.168.255.255 |
- 위 대역은 RFC1918 사설 IPv4 주소 대역
- 내부 네트워크, VPC, 온프레미스 사설망에서 자주 사용
- VPC와 데이터센터를 연결할 계획이 있다면 서로 CIDR이 겹치지 않게 설계해야 함
Subnet / Route Table
Subnet
- 서브넷은 VPC CIDR 범위 안에서 나누는 IP 주소 범위
- EC2 같은 리소스는 특정 서브넷 안에 배치됨
- 하나의 서브넷은 하나의 AZ에만 생성 가능
- 고가용성을 위해서는 여러 AZ에 각각 서브넷을 만들고 리소스를 분산 배치해야 함
Public Subnet
- 퍼블릭 서브넷은 인터넷 게이트웨이로 가는 라우팅이 있는 서브넷
- 일반적으로 라우팅 테이블에 0.0.0.0/0 → Internet Gateway 경로가 있음
- 퍼블릭 IP 또는 Elastic IP가 있는 리소스는 인터넷과 직접 통신 가능
- ALB, NAT Gateway, Bastion Host 등을 배치하는 데 자주 사용
Private Subnet
- 프라이빗 서브넷은 인터넷 게이트웨이로 직접 나가는 라우팅이 없는 서브넷
- 일반적으로 외부에서 직접 접근되면 안 되는 EC2, RDS, ElastiCache 등을 배치
- 프라이빗 서브넷의 리소스가 인터넷으로 아웃바운드 접근이 필요하면 NAT Gateway 사용
- AWS 서비스에 프라이빗하게 접근해야 하면 VPC Endpoint 사용
Route Table
- 라우팅 테이블은 서브넷의 트래픽이 어디로 갈지 결정
- 하나의 라우팅 테이블을 여러 서브넷에 연결할 수 있음
- 퍼블릭 서브넷과 프라이빗 서브넷은 보통 서로 다른 라우팅 테이블을 사용
- 라우팅 테이블에 인터넷 게이트웨이 경로가 있다고 해도, 리소스에 퍼블릭 IP가 없으면 인터넷에서 직접 접근할 수 없음
Internet Gateway / NAT Gateway / Egress-only Internet Gateway
| 서비스 | 용도 |
| Internet Gateway | VPC와 인터넷 간 통신 제공 |
| NAT Gateway | 프라이빗 서브넷 리소스의 아웃바운드 IPv4 인터넷 접근 제공 |
| Egress-only Internet Gateway | IPv6에서 외부로 나가는 통신만 허용하고 외부 인바운드 시작은 차단 |
Internet Gateway
- Internet Gateway는 VPC와 인터넷 간 통신을 가능하게 하는 게이트웨이
- 하나의 Internet Gateway는 한 번에 하나의 VPC에만 연결 가능
- 퍼블릭 서브넷에서 인터넷 접근을 하려면 라우팅 테이블에 Internet Gateway 경로가 필요
- EC2가 인터넷과 직접 통신하려면 퍼블릭 IP 또는 Elastic IP도 필요
NAT Gateway
- NAT Gateway는 프라이빗 서브넷 리소스가 인터넷으로 아웃바운드 접근할 수 있게 해주는 서비스
- 외부 인터넷에서 프라이빗 리소스로 직접 인바운드 연결을 시작하는 용도가 아님
- 프라이빗 EC2가 패치 다운로드, 외부 API 호출 등을 해야 할 때 사용
- NAT Gateway는 보통 퍼블릭 서브넷에 배치
- NAT Gateway에는 Elastic IP를 연결
- NAT Gateway에는 보안 그룹을 연결하지 않음
- NAT Gateway의 트래픽 제어는 보안 그룹이 아니라 라우팅 테이블, NACL, 대상 리소스의 보안 그룹 등을 고려
NAT Instance
- NAT Instance는 EC2 인스턴스를 직접 NAT 용도로 구성하는 방식
- NAT Gateway보다 직접 관리해야 할 요소가 많음
- 인스턴스 패치, 장애 대응, 확장, 고가용성 구성을 직접 관리해야 함
- NAT Instance를 사용하려면 소스/대상 주소 확인을 비활성화해야 함
- NAT Instance에는 보안 그룹을 연결할 수 있음
- 일반적으로 관리형 서비스인 NAT Gateway가 운영 부담이 적음
Egress-only Internet Gateway
- IPv6 전용 아웃바운드 인터넷 접근 제어에 사용
- IPv6는 NAT 개념 없이 글로벌 주소를 사용하므로, IPv6에서 아웃바운드만 허용하고 인바운드 시작을 막고 싶을 때 사용
- IPv4의 NAT Gateway와 비슷한 목적이지만, NAT를 수행하는 것은 아님
Security Group vs NACL
| 항목 | Security Group | NACL |
| 적용 단위 | ENI 또는 인스턴스 단위 | 서브넷 단위 |
| 규칙 유형 | 허용 규칙만 지원 | 허용 규칙과 거부 규칙 지원 |
| 상태 | Stateful | Stateless |
| 응답 트래픽 | 자동 허용 | 인바운드/아웃바운드 각각 허용 필요 |
| 규칙 평가 | 모든 규칙 평가 | 낮은 번호부터 순서대로 평가 |
| 특정 CIDR 차단 | 직접적인 Deny 불가 | Deny 규칙으로 가능 |
Security Group
- 보안 그룹은 ENI에 적용되는 가상 방화벽
- 허용 규칙만 작성할 수 있음
- Stateful이므로 인바운드 요청이 허용되면 응답 트래픽은 자동 허용
- EC2, RDS, ALB, Lambda VPC ENI 등 ENI 기반 리소스에 적용 가능
- 특정 트래픽을 명시적으로 차단해야 한다면 보안 그룹만으로는 불가능
NACL
- NACL은 서브넷 단위로 적용되는 네트워크 ACL
- 허용 규칙과 거부 규칙을 모두 작성할 수 있음
- Stateless이므로 인바운드와 아웃바운드를 각각 설정해야 함
- 규칙 번호가 낮은 것부터 순서대로 평가됨
- 특정 CIDR 대역을 차단하려면 더 낮은 규칙 번호의 Deny 규칙 사용
- 기본 NACL은 인바운드/아웃바운드를 모두 허용
- 사용자 지정 NACL은 기본적으로 직접 규칙을 정의해야 함
NACL 포트 주의
- 외부 사용자가 EC2의 HTTPS 443 포트로 접근하는 경우, NACL 인바운드 443 허용 필요
- 응답 트래픽을 위해 NACL 아웃바운드 임시 포트도 허용해야 함
- 프라이빗 서브넷의 EC2가 외부 HTTPS 서비스로 나가는 경우, NACL 아웃바운드 443과 인바운드 임시 포트를 함께 고려해야 함
- NACL은 Stateless이므로 응답 트래픽도 별도 규칙이 필요하다는 점이 핵심
트래픽 제어 선택 기준
| 요구사항 | 적합한 서비스 |
| 인스턴스 단위 접근 제어 | Security Group |
| 서브넷 단위 접근 제어 | NACL |
| 특정 CIDR 대역 명시적 차단 | NACL Deny 규칙 |
| HTTP/HTTPS 요청 조건 기반 제어 | AWS WAF |
| VPC 내부 네트워크 트래픽 검사 | AWS Network Firewall |
- CloudFront는 VPC 서브넷 안에 있는 리소스가 아니므로 NACL을 직접 적용할 수 없음
- CloudFront 앞단의 웹 요청 제어는 WAF를 사용
VPC Endpoint / PrivateLink
핵심 개념
- VPC Endpoint는 인터넷을 거치지 않고 AWS 서비스에 프라이빗하게 접근하기 위한 기능
- 프라이빗 서브넷의 리소스가 S3, DynamoDB, SQS, Secrets Manager 등 AWS 서비스에 접근할 때 사용
- NAT Gateway나 Internet Gateway를 거치지 않고 AWS 네트워크 내부 경로로 접근할 수 있음
- 보안 요구사항과 NAT Gateway 비용 절감 요구사항에서 자주 등장
Gateway Endpoint vs Interface Endpoint
| 유형 | 대상 서비스 | 특징 | 비용 |
| Gateway Endpoint | S3, DynamoDB | 라우팅 테이블에 경로 추가, ENI 생성 없음 | 추가 요금 없음 |
| Interface Endpoint | 다수 AWS 서비스, PrivateLink 기반 서비스 | 서브넷에 ENI 생성, PrivateLink 사용 | 시간당/데이터 처리 요금 발생 |
Gateway Endpoint
- S3와 DynamoDB에 대해 사용할 수 있음
- 라우팅 테이블에 엔드포인트 경로를 추가하는 방식
- NAT Gateway 없이 S3/DynamoDB에 프라이빗 접근 가능
- S3 접근만을 위해 NAT Gateway를 사용하고 있다면 S3 Gateway Endpoint로 비용 절감 가능
- 프라이빗 서브넷에서 S3 접근이 필요하면 S3 Gateway Endpoint 생성 후, 프라이빗 서브넷 라우팅 테이블에 연결
- Gateway Endpoint는 AWS PrivateLink를 사용하는 구조가 아님
Interface Endpoint
- AWS PrivateLink를 기반으로 동작
- 서브넷에 엔드포인트 ENI가 생성됨
- 보안 그룹을 연결할 수 있음
- SQS, SNS, CloudWatch Logs, Secrets Manager, KMS, API Gateway 등 다양한 AWS 서비스에 사용
- S3와 DynamoDB도 Interface Endpoint를 지원하지만, 일반적인 VPC 내부 접근과 비용 절감 목적이면 Gateway Endpoint를 우선 고려
- 온프레미스에서 Direct Connect 또는 VPN을 통해 S3에 프라이빗 접근해야 하거나, 다른 리전/복잡한 네트워크 요구사항이 있으면 S3 Interface Endpoint를 고려할 수 있음
PrivateLink
- PrivateLink는 Interface Endpoint 기반으로 서비스 제공자와 소비자를 프라이빗하게 연결하는 기술
- 다른 AWS 계정의 특정 서비스나 SaaS 서비스에 비공개로 연결할 때 사용
- 서비스 제공자는 NLB 등을 통해 Endpoint Service를 만들고, 소비자는 Interface Endpoint로 연결
- VPC Peering처럼 VPC 전체를 연결하는 것이 아니라 특정 서비스만 노출하는 방식
- CIDR 중복 문제가 있거나, 상대 VPC 전체 접근을 열고 싶지 않을 때 유용
VPC Peering vs Transit Gateway
| 항목 | VPC Peering | Transit Gateway |
| 연결 방식 | VPC 사이 1:1 직접 연결 | 중앙 허브 형태로 다수 VPC와 온프레미스 연결 |
| 전이 라우팅 | 미지원 | 지원 |
| 확장성 | VPC 수가 적을 때 단순 | VPC 수가 많을 때 관리 용이 |
| 온프레미스 연결 | 직접 연결 용도 아님 | VPN 또는 Direct Connect와 연계 가능 |
| CIDR 중복 | 불가 | 불가 |
| 주요 사용 시나리오 | 소수 VPC 간 직접 통신 | 많은 VPC, 여러 계정, 온프레미스 연결 중앙 관리 |
VPC Peering
- 두 VPC 간 프라이빗 통신을 가능하게 하는 1:1 연결
- 같은 리전 또는 다른 리전 간에도 구성 가능
- 전이 라우팅을 지원하지 않음
- A-B, B-C 피어링이 있어도 A-C 통신이 자동으로 되는 것은 아님
- VPC Peering은 IPv4와 IPv6 모두 사용할 수 있음
- 리전 간 VPC Peering에서도 IPv6 사용 가능
- 연결하려는 VPC 간 CIDR이 겹치면 사용할 수 없음
Transit Gateway
- 여러 VPC와 온프레미스 네트워크를 중앙 허브 형태로 연결하는 서비스
- VPC Peering보다 대규모 네트워크 관리에 적합
- 전이 라우팅을 지원
- Site-to-Site VPN, Direct Connect Gateway와 연계 가능
- 여러 계정과 여러 VPC를 중앙에서 연결하고 라우팅을 관리할 때 유용
- Transit Gateway 라우팅 테이블을 분리하여 네트워크 간 통신 범위를 제어할 수 있음
- Transit Gateway 블랙홀 라우트를 사용하면 특정 목적지로 가는 트래픽을 차단할 수 있음
Site-to-Site VPN
- Site-to-Site VPN은 온프레미스 네트워크와 AWS VPC를 암호화된 VPN 터널로 연결하는 서비스
- 인터넷 기반 IPsec VPN 터널을 사용
- 빠르게 구성할 수 있음
- 네트워크 품질과 대역폭은 인터넷 환경의 영향을 받음
- VPN 구성 시 AWS 쪽에는 Virtual Private Gateway 또는 Transit Gateway를 사용할 수 있음
- 온프레미스 쪽에는 Customer Gateway가 필요
- Direct Connect의 백업 경로로 Site-to-Site VPN을 함께 구성할 수 있음
- 비용과 구성 속도 측면에서는 Direct Connect보다 유리할 수 있음
- 안정적인 고대역폭과 예측 가능한 네트워크 품질이 필요하면 Direct Connect 고려
Direct Connect
- Direct Connect는 온프레미스와 AWS를 전용 네트워크 회선으로 연결하는 서비스
- 인터넷을 거치지 않고 전용 연결을 사용
- 일반적으로 Site-to-Site VPN보다 안정적이고 큰 대역폭을 제공
- 구성 준비와 회선 개통에 시간이 걸릴 수 있음
- 1회성 대용량 데이터 이전이 목적이면 Direct Connect보다 Snow Family가 더 적합할 수 있음
- Direct Connect 자체는 기본적으로 암호화 터널을 제공하는 서비스가 아님
- 암호화가 필요하면 Site-to-Site VPN over Direct Connect 또는 MACsec 지원 연결을 고려
- 고가용성이 필요하면 Direct Connect 연결을 이중화하고, 가능하면 서로 다른 위치 또는 장비를 사용
Direct Connect VIF
| VIF 유형 | 용도 |
| Private VIF | 온프레미스와 VPC의 프라이빗 리소스 연결 |
| Public VIF | 온프레미스에서 S3 같은 AWS 퍼블릭 서비스에 퍼블릭 IP로 접근 |
| Transit VIF | Direct Connect Gateway를 통해 Transit Gateway에 연결 |
VPN vs Direct Connect 비교
| 항목 | Site-to-Site VPN | Direct Connect |
| 연결 방식 | 인터넷 기반 IPsec 암호화 터널 | 전용 네트워크 회선 |
| 구성 속도 | 비교적 빠름 | 회선 준비로 시간이 걸림 |
| 대역폭/품질 | 인터넷 품질에 의존 | 안정적이고 예측 가능 |
| 암호화 | 기본적으로 IPsec 암호화 | 기본 암호화 없음. 별도 구성 필요 |
| 사용 사례 | 빠른 연결, 백업 경로 | 안정적인 전용 연결, 고대역폭 |
AWS Client VPN
- AWS Client VPN은 사용자가 VPN을 통해 AWS VPC에 안전하게 접속하는 서비스
- 재택근무자, 외부 사용자, 운영자가 VPC 내부 리소스에 접근해야 할 때 사용
- EC2에 직접 퍼블릭 IP를 열지 않고, VPN 연결 후 RDP/SSH로 접근 가능
- 인증 방식으로 Active Directory, SAML, 상호 인증 등을 사용할 수 있음
- 사용자가 AWS 네트워크에 접속하는 클라이언트 VPN이라는 점에서, 네트워크 간 연결인 Site-to-Site VPN과 구분
Route 53
핵심 개념
- Route 53은 AWS의 관리형 DNS 서비스
- 도메인 등록, DNS 라우팅, 헬스 체크, 장애 조치 라우팅 등에 사용
- 퍼블릭 호스티드 존은 인터넷에서 조회 가능한 DNS 영역
- 프라이빗 호스티드 존은 특정 VPC 내부에서만 조회 가능한 DNS 영역
- 단순 장애 조치가 필요하면 Lambda나 CloudWatch로 복잡하게 구성하기보다 Route 53 장애 조치 라우팅을 우선 고려
Route 53 라우팅 정책
| 정책 | 설명 |
| Simple | 단일 리소스 또는 단순한 DNS 응답 반환 |
| Weighted | 지정한 비율에 따라 여러 리소스로 트래픽 분산 |
| Latency | 사용자에게 가장 낮은 지연 시간을 제공하는 리전의 리소스로 라우팅 |
| Failover | 헬스 체크 기반으로 기본 리소스 장애 시 보조 리소스로 전환 |
| Geolocation | 사용자의 대륙, 국가, 주 등 지리적 위치 기반 라우팅 |
| Geoproximity | 사용자와 리소스의 지리적 거리 및 bias 값을 기반으로 라우팅 |
| Multivalue Answer | 여러 정상 엔드포인트 값을 반환하여 가용성 향상 |
Route 53 레코드 타입
| 타입 | 설명 |
| A | 도메인을 IPv4 주소에 매핑 |
| AAAA | 도메인을 IPv6 주소에 매핑 |
| CNAME | 도메인을 다른 도메인 이름에 매핑 |
| NS | 네임 서버 정보 |
| SOA | DNS 영역의 권한 시작 정보 |
| MX | 메일 서버 정보 |
| TXT | 텍스트 정보 저장, 도메인 검증 등에 사용 |
| Alias | AWS 리소스에 대한 별칭 레코드. 루트 도메인에도 사용 가능 |
Route 53 주요 포인트
- 여러 정상 웹 서버 중 임의의 정상 엔드포인트를 반환하려면 Multivalue Answer Routing 사용
- DNS 요청 분석이 필요하면 Route 53 Resolver Query Logging 사용
- 장애 조치 라우팅은 헬스 체크와 함께 사용
- ALB, CloudFront, S3 정적 웹 사이트 엔드포인트 등 AWS 리소스에는 Alias 레코드를 자주 사용
- 루트 도메인에는 일반 CNAME을 사용할 수 없으므로 Alias 레코드를 고려
CloudFront
핵심 개념
- CloudFront는 엣지 로케이션을 통해 사용자에게 콘텐츠를 빠르게 전달하는 CDN 서비스
- S3, ALB, EC2, API Gateway, Lambda Function URL 등 다양한 오리진과 연결 가능
- 정적 콘텐츠뿐 아니라 동적 웹 콘텐츠 전송에도 사용할 수 있음
- 엣지 캐싱을 통해 사용자 지연 시간을 줄이고 오리진 부하를 줄일 수 있음
- S3 버킷을 오리진으로 사용하는 경우 CloudFront를 통해서만 접근하도록 제한 가능
CloudFront + S3 접근 제한
- 기존 방식은 OAI, 즉 Origin Access Identity
- 최신 권장 방식은 OAC, 즉 Origin Access Control
- OAC를 사용하면 CloudFront가 S3 오리진에 접근할 수 있도록 안전하게 제어 가능
- 기본 흐름은 User → CloudFront(+WAF) → S3
- WAF는 CloudFront 배포에 연결하여 웹 요청을 필터링할 수 있음
- S3 버킷은 퍼블릭으로 열지 않고 CloudFront만 접근하도록 구성 가능
CloudFront 주요 기능
| 기능 | 설명 |
| 오리진 그룹 | 기본 오리진 장애 시 보조 오리진으로 Failover |
| 지리적 제한 | 특정 국가에서의 콘텐츠 접근 허용 또는 차단 |
| 서명된 URL/쿠키 | 제한된 사용자에게만 콘텐츠 제공 |
| 필드 수준 암호화 | 민감한 필드를 엣지에서 암호화하여 오리진으로 전달 |
| Lambda@Edge | 엣지에서 요청/응답을 수정하거나 동적 로직 처리 |
| CloudFront Functions | 가벼운 Viewer Request/Response 처리에 적합 |
| 압축 | 객체를 압축하여 전송하고 네트워크 비용과 지연 시간 절감 |
- Lambda@Edge는 CloudFront 이벤트에 따라 요청 또는 응답을 수정할 때 사용
- 가벼운 헤더 조작, 리다이렉트, URL 정규화 등은 CloudFront Functions가 더 적합할 수 있음
- CloudFront는 CDN과 캐싱이 핵심
- 웹 애플리케이션 보안이 필요하면 WAF와 함께 사용
API Gateway와 CloudFront
- API Gateway의 엣지 최적화 엔드포인트는 CloudFront를 사용하여 글로벌 사용자에게 더 낮은 지연 시간을 제공
- 리전 엔드포인트는 특정 리전에 배치된 API 엔드포인트
- 갑작스러운 요청 증가로 백엔드가 부담될 수 있으면 API Gateway 뒤에 SQS를 두어 처리량을 완충할 수 있음
- 여러 고객에게 개별 URL을 제공해야 하면 와일드카드 사용자 지정 도메인과 와일드카드 ACM 인증서를 고려할 수 있음
Global Accelerator
핵심 개념
- Global Accelerator는 AWS 글로벌 네트워크를 사용해 애플리케이션으로 가는 경로를 최적화하는 서비스
- TCP/UDP 트래픽의 성능과 가용성을 높이는 데 사용
- 고정 Anycast IP를 제공
- 정상 엔드포인트로 트래픽을 보내고, 리전 장애 시 다른 엔드포인트로 우회 가능
- 캐싱을 제공하지 않음
- ALB, NLB, EC2, Elastic IP 등을 엔드포인트로 사용할 수 있음
- 글로벌 사용자에게 안정적인 네트워크 경로와 고정 진입점이 필요할 때 적합
CloudFront vs Global Accelerator
| 항목 | CloudFront | Global Accelerator |
| 목적 | CDN, 콘텐츠 캐싱, 웹 콘텐츠 전송 최적화 | 네트워크 라우팅 최적화, 고정 Anycast IP |
| 주요 프로토콜 | HTTP/HTTPS 중심 | TCP/UDP |
| 정적 IP | 기본 목적 아님 | 고정 Anycast IP 제공 |
| 캐싱 | 지원 | 미지원 |
| 오리진/엔드포인트 | S3, ALB, EC2, API Gateway 등 | ALB, NLB, EC2, Elastic IP 등 |
| 주 용도 | 정적/동적 웹 콘텐츠 전송 | TCP/UDP 애플리케이션 가속, 리전 장애 우회 |
- 콘텐츠 캐싱과 CDN이 핵심이면 CloudFront
- 고정 IP와 TCP/UDP 네트워크 경로 최적화가 핵심이면 Global Accelerator
네트워크 보안 서비스
| 서비스 | 용도 |
| AWS WAF | HTTP/HTTPS 애플리케이션 계층 공격 방어 |
| Shield Standard | 기본 DDoS 보호. 무료 제공 |
| Shield Advanced | 고도화된 DDoS 보호와 추가 대응 지원 |
| AWS Network Firewall | VPC 트래픽에 대한 관리형 네트워크 방화벽 |
| Traffic Mirroring | VPC ENI 트래픽을 복제하여 보안 분석 도구로 전송 |
| Firewall Manager | 여러 계정의 WAF, Shield, 보안 그룹, Network Firewall 정책 중앙 관리 |
| VPC Lattice | 여러 VPC와 계정에 걸친 서비스 간 통신과 접근 제어 단순화 |
| GuardDuty | 위협 탐지 서비스 |
WAF
- WAF는 웹 애플리케이션 방화벽
- HTTP/HTTPS 요청을 검사하고 차단 또는 허용 가능
- SQL Injection, XSS, 악성 IP, 특정 헤더/URI 조건 차단 등에 사용
- CloudFront, ALB, API Gateway 등에 연결 가능
- NLB에는 WAF를 직접 연결할 수 없음
Shield
- Shield Standard는 기본 DDoS 보호를 제공
- Shield Advanced는 더 강한 DDoS 보호, 비용 보호, DDoS 대응 지원이 필요한 경우 사용
- Shield Advanced는 CloudFront, Route 53, Global Accelerator, ELB, EC2 Elastic IP 등 인터넷 노출 리소스 보호에 사용
Network Firewall
- AWS Network Firewall은 VPC 트래픽을 검사하고 필터링하는 관리형 방화벽
- 상태 기반 방화벽 규칙과 침입 방지 성격의 규칙을 구성할 수 있음
- VPC 경계 또는 서브넷 간 트래픽 제어가 필요한 경우 사용
Traffic Mirroring
- Traffic Mirroring은 ENI의 네트워크 트래픽을 복제하여 별도 보안 분석 장비나 모니터링 도구로 보내는 기능
- 침입 탐지, 패킷 분석, 네트워크 포렌식에 사용
- 트래픽을 차단하는 기능이 아니라 분석용으로 복제하는 기능
Firewall Manager
- Firewall Manager는 AWS Organizations 기반으로 여러 계정의 보안 정책을 중앙 관리하는 서비스
- 여러 계정에 WAF 규칙, Shield Advanced 보호, 보안 그룹 정책, Network Firewall 정책 등을 일괄 적용할 수 있음
GuardDuty
- GuardDuty는 위협 탐지 서비스
- VPC Flow Logs, DNS 로그, CloudTrail 이벤트 등을 분석하여 의심스러운 활동을 탐지
- 직접 트래픽을 차단하는 방화벽 서비스는 아님
- 탐지 결과를 EventBridge, Lambda, Security Hub 등과 연동하여 대응 자동화 가능
네트워크 서비스 선택 기준 요약
| 요구사항 | 적합한 서비스 |
| AWS 내 논리적 격리 네트워크 구성 | VPC |
| 퍼블릭 리소스의 인터넷 통신 | Internet Gateway |
| 프라이빗 서브넷의 IPv4 아웃바운드 인터넷 접근 | NAT Gateway |
| IPv6 아웃바운드 전용 인터넷 접근 | Egress-only Internet Gateway |
| 인스턴스 단위 방화벽 | Security Group |
| 서브넷 단위 방화벽 및 특정 CIDR 차단 | NACL |
| S3/DynamoDB 프라이빗 접근 및 NAT 비용 절감 | Gateway Endpoint |
| AWS 서비스 또는 PrivateLink 서비스 프라이빗 접근 | Interface Endpoint |
| 특정 서비스만 비공개로 노출 | PrivateLink |
| 소수 VPC 간 직접 연결 | VPC Peering |
| 다수 VPC와 온프레미스 중앙 연결 | Transit Gateway |
| 온프레미스와 AWS 간 빠른 암호화 연결 | Site-to-Site VPN |
| 온프레미스와 AWS 간 전용 회선 | Direct Connect |
| 사용자 단말에서 VPC 접속 | AWS Client VPN |
| DNS 라우팅과 장애 조치 | Route 53 |
| 콘텐츠 캐싱과 CDN | CloudFront |
| TCP/UDP 애플리케이션 가속과 고정 Anycast IP | Global Accelerator |
| 웹 요청 기반 보안 제어 | AWS WAF |
| DDoS 보호 | Shield |
| VPC 트래픽 검사 | Network Firewall |
| 트래픽 복제와 보안 분석 | Traffic Mirroring |
| 여러 계정 보안 정책 중앙 관리 | Firewall Manager |
| 위협 탐지 | GuardDuty |
'자격증 > SAA' 카테고리의 다른 글
| [AWS SAA] 모니터링 / 운영 (0) | 2026.06.22 |
|---|---|
| [AWS SAA] 보안 / IAM (0) | 2026.06.22 |
| [AWS SAA] 데이터베이스 (0) | 2026.06.21 |
| [AWS SAA] 스토리지 (0) | 2026.06.21 |
| [AWS SAA] 컴퓨팅 (0) | 2026.06.21 |