새발블로그

[AWS SAA] 네트워크 본문

자격증/SAA

[AWS SAA] 네트워크

EUG 2026. 6. 21. 19:01

VPC

핵심 개념

  • VPC는 AWS 내에서 논리적으로 격리된 가상 네트워크
  • EC2, RDS, ElastiCache, 내부 ALB 등 네트워크 기반 리소스를 배치하는 기본 네트워크 공간
  • VPC의 IPv4 CIDR 블록은 /16부터 /28 범위에서 생성 가능
  • 서브넷의 IPv4 CIDR 블록도 /16부터 /28 범위에서 생성 가능
  • 하나의 서브넷은 하나의 AZ에만 속함
  • 하나의 서브넷이 여러 AZ에 걸칠 수는 없음
  • 하나의 AZ 안에 여러 개의 서브넷을 만들 수 있음
  • VPC와 온프레미스 데이터센터를 연결할 때는 IP 주소 대역이 겹치지 않도록 설계해야 함
  • VPC 생성 후 기본 CIDR은 변경할 수 없으므로, 처음부터 충분한 IP 대역을 고려하는 것이 중요

사설 IPv4 대역

대역 범위
10.0.0.0/8 10.0.0.0 ~ 10.255.255.255
172.16.0.0/12 172.16.0.0 ~ 172.31.255.255
192.168.0.0/16 192.168.0.0 ~ 192.168.255.255
  • 위 대역은 RFC1918 사설 IPv4 주소 대역
  • 내부 네트워크, VPC, 온프레미스 사설망에서 자주 사용
  • VPC와 데이터센터를 연결할 계획이 있다면 서로 CIDR이 겹치지 않게 설계해야 함

Subnet / Route Table

Subnet

  • 서브넷은 VPC CIDR 범위 안에서 나누는 IP 주소 범위
  • EC2 같은 리소스는 특정 서브넷 안에 배치됨
  • 하나의 서브넷은 하나의 AZ에만 생성 가능
  • 고가용성을 위해서는 여러 AZ에 각각 서브넷을 만들고 리소스를 분산 배치해야 함

Public Subnet

  • 퍼블릭 서브넷은 인터넷 게이트웨이로 가는 라우팅이 있는 서브넷
  • 일반적으로 라우팅 테이블에 0.0.0.0/0 → Internet Gateway 경로가 있음
  • 퍼블릭 IP 또는 Elastic IP가 있는 리소스는 인터넷과 직접 통신 가능
  • ALB, NAT Gateway, Bastion Host 등을 배치하는 데 자주 사용

Private Subnet

  • 프라이빗 서브넷은 인터넷 게이트웨이로 직접 나가는 라우팅이 없는 서브넷
  • 일반적으로 외부에서 직접 접근되면 안 되는 EC2, RDS, ElastiCache 등을 배치
  • 프라이빗 서브넷의 리소스가 인터넷으로 아웃바운드 접근이 필요하면 NAT Gateway 사용
  • AWS 서비스에 프라이빗하게 접근해야 하면 VPC Endpoint 사용

Route Table

  • 라우팅 테이블은 서브넷의 트래픽이 어디로 갈지 결정
  • 하나의 라우팅 테이블을 여러 서브넷에 연결할 수 있음
  • 퍼블릭 서브넷과 프라이빗 서브넷은 보통 서로 다른 라우팅 테이블을 사용
  • 라우팅 테이블에 인터넷 게이트웨이 경로가 있다고 해도, 리소스에 퍼블릭 IP가 없으면 인터넷에서 직접 접근할 수 없음

Internet Gateway / NAT Gateway / Egress-only Internet Gateway

서비스 용도
Internet Gateway VPC와 인터넷 간 통신 제공
NAT Gateway 프라이빗 서브넷 리소스의 아웃바운드 IPv4 인터넷 접근 제공
Egress-only Internet Gateway IPv6에서 외부로 나가는 통신만 허용하고 외부 인바운드 시작은 차단

Internet Gateway

  • Internet Gateway는 VPC와 인터넷 간 통신을 가능하게 하는 게이트웨이
  • 하나의 Internet Gateway는 한 번에 하나의 VPC에만 연결 가능
  • 퍼블릭 서브넷에서 인터넷 접근을 하려면 라우팅 테이블에 Internet Gateway 경로가 필요
  • EC2가 인터넷과 직접 통신하려면 퍼블릭 IP 또는 Elastic IP도 필요

NAT Gateway

  • NAT Gateway는 프라이빗 서브넷 리소스가 인터넷으로 아웃바운드 접근할 수 있게 해주는 서비스
  • 외부 인터넷에서 프라이빗 리소스로 직접 인바운드 연결을 시작하는 용도가 아님
  • 프라이빗 EC2가 패치 다운로드, 외부 API 호출 등을 해야 할 때 사용
  • NAT Gateway는 보통 퍼블릭 서브넷에 배치
  • NAT Gateway에는 Elastic IP를 연결
  • NAT Gateway에는 보안 그룹을 연결하지 않음
  • NAT Gateway의 트래픽 제어는 보안 그룹이 아니라 라우팅 테이블, NACL, 대상 리소스의 보안 그룹 등을 고려

NAT Instance

  • NAT Instance는 EC2 인스턴스를 직접 NAT 용도로 구성하는 방식
  • NAT Gateway보다 직접 관리해야 할 요소가 많음
  • 인스턴스 패치, 장애 대응, 확장, 고가용성 구성을 직접 관리해야 함
  • NAT Instance를 사용하려면 소스/대상 주소 확인을 비활성화해야 함
  • NAT Instance에는 보안 그룹을 연결할 수 있음
  • 일반적으로 관리형 서비스인 NAT Gateway가 운영 부담이 적음

Egress-only Internet Gateway

  • IPv6 전용 아웃바운드 인터넷 접근 제어에 사용
  • IPv6는 NAT 개념 없이 글로벌 주소를 사용하므로, IPv6에서 아웃바운드만 허용하고 인바운드 시작을 막고 싶을 때 사용
  • IPv4의 NAT Gateway와 비슷한 목적이지만, NAT를 수행하는 것은 아님

Security Group vs NACL

항목 Security Group NACL
적용 단위 ENI 또는 인스턴스 단위 서브넷 단위
규칙 유형 허용 규칙만 지원 허용 규칙과 거부 규칙 지원
상태 Stateful Stateless
응답 트래픽 자동 허용 인바운드/아웃바운드 각각 허용 필요
규칙 평가 모든 규칙 평가 낮은 번호부터 순서대로 평가
특정 CIDR 차단 직접적인 Deny 불가 Deny 규칙으로 가능

Security Group

  • 보안 그룹은 ENI에 적용되는 가상 방화벽
  • 허용 규칙만 작성할 수 있음
  • Stateful이므로 인바운드 요청이 허용되면 응답 트래픽은 자동 허용
  • EC2, RDS, ALB, Lambda VPC ENI 등 ENI 기반 리소스에 적용 가능
  • 특정 트래픽을 명시적으로 차단해야 한다면 보안 그룹만으로는 불가능

NACL

  • NACL은 서브넷 단위로 적용되는 네트워크 ACL
  • 허용 규칙과 거부 규칙을 모두 작성할 수 있음
  • Stateless이므로 인바운드와 아웃바운드를 각각 설정해야 함
  • 규칙 번호가 낮은 것부터 순서대로 평가됨
  • 특정 CIDR 대역을 차단하려면 더 낮은 규칙 번호의 Deny 규칙 사용
  • 기본 NACL은 인바운드/아웃바운드를 모두 허용
  • 사용자 지정 NACL은 기본적으로 직접 규칙을 정의해야 함

NACL 포트 주의

  • 외부 사용자가 EC2의 HTTPS 443 포트로 접근하는 경우, NACL 인바운드 443 허용 필요
  • 응답 트래픽을 위해 NACL 아웃바운드 임시 포트도 허용해야 함
  • 프라이빗 서브넷의 EC2가 외부 HTTPS 서비스로 나가는 경우, NACL 아웃바운드 443과 인바운드 임시 포트를 함께 고려해야 함
  • NACL은 Stateless이므로 응답 트래픽도 별도 규칙이 필요하다는 점이 핵심

트래픽 제어 선택 기준

요구사항 적합한 서비스
인스턴스 단위 접근 제어 Security Group
서브넷 단위 접근 제어 NACL
특정 CIDR 대역 명시적 차단 NACL Deny 규칙
HTTP/HTTPS 요청 조건 기반 제어 AWS WAF
VPC 내부 네트워크 트래픽 검사 AWS Network Firewall
  • CloudFront는 VPC 서브넷 안에 있는 리소스가 아니므로 NACL을 직접 적용할 수 없음
  • CloudFront 앞단의 웹 요청 제어는 WAF를 사용

VPC Endpoint / PrivateLink

핵심 개념

  • VPC Endpoint는 인터넷을 거치지 않고 AWS 서비스에 프라이빗하게 접근하기 위한 기능
  • 프라이빗 서브넷의 리소스가 S3, DynamoDB, SQS, Secrets Manager 등 AWS 서비스에 접근할 때 사용
  • NAT Gateway나 Internet Gateway를 거치지 않고 AWS 네트워크 내부 경로로 접근할 수 있음
  • 보안 요구사항과 NAT Gateway 비용 절감 요구사항에서 자주 등장

Gateway Endpoint vs Interface Endpoint

유형 대상 서비스 특징 비용
Gateway Endpoint S3, DynamoDB 라우팅 테이블에 경로 추가, ENI 생성 없음 추가 요금 없음
Interface Endpoint 다수 AWS 서비스, PrivateLink 기반 서비스 서브넷에 ENI 생성, PrivateLink 사용 시간당/데이터 처리 요금 발생

Gateway Endpoint

  • S3와 DynamoDB에 대해 사용할 수 있음
  • 라우팅 테이블에 엔드포인트 경로를 추가하는 방식
  • NAT Gateway 없이 S3/DynamoDB에 프라이빗 접근 가능
  • S3 접근만을 위해 NAT Gateway를 사용하고 있다면 S3 Gateway Endpoint로 비용 절감 가능
  • 프라이빗 서브넷에서 S3 접근이 필요하면 S3 Gateway Endpoint 생성 후, 프라이빗 서브넷 라우팅 테이블에 연결
  • Gateway Endpoint는 AWS PrivateLink를 사용하는 구조가 아님

Interface Endpoint

  • AWS PrivateLink를 기반으로 동작
  • 서브넷에 엔드포인트 ENI가 생성됨
  • 보안 그룹을 연결할 수 있음
  • SQS, SNS, CloudWatch Logs, Secrets Manager, KMS, API Gateway 등 다양한 AWS 서비스에 사용
  • S3와 DynamoDB도 Interface Endpoint를 지원하지만, 일반적인 VPC 내부 접근과 비용 절감 목적이면 Gateway Endpoint를 우선 고려
  • 온프레미스에서 Direct Connect 또는 VPN을 통해 S3에 프라이빗 접근해야 하거나, 다른 리전/복잡한 네트워크 요구사항이 있으면 S3 Interface Endpoint를 고려할 수 있음

PrivateLink

  • PrivateLink는 Interface Endpoint 기반으로 서비스 제공자와 소비자를 프라이빗하게 연결하는 기술
  • 다른 AWS 계정의 특정 서비스나 SaaS 서비스에 비공개로 연결할 때 사용
  • 서비스 제공자는 NLB 등을 통해 Endpoint Service를 만들고, 소비자는 Interface Endpoint로 연결
  • VPC Peering처럼 VPC 전체를 연결하는 것이 아니라 특정 서비스만 노출하는 방식
  • CIDR 중복 문제가 있거나, 상대 VPC 전체 접근을 열고 싶지 않을 때 유용

VPC Peering vs Transit Gateway

항목 VPC Peering Transit Gateway
연결 방식 VPC 사이 1:1 직접 연결 중앙 허브 형태로 다수 VPC와 온프레미스 연결
전이 라우팅 미지원 지원
확장성 VPC 수가 적을 때 단순 VPC 수가 많을 때 관리 용이
온프레미스 연결 직접 연결 용도 아님 VPN 또는 Direct Connect와 연계 가능
CIDR 중복 불가 불가
주요 사용 시나리오 소수 VPC 간 직접 통신 많은 VPC, 여러 계정, 온프레미스 연결 중앙 관리

VPC Peering

  • 두 VPC 간 프라이빗 통신을 가능하게 하는 1:1 연결
  • 같은 리전 또는 다른 리전 간에도 구성 가능
  • 전이 라우팅을 지원하지 않음
  • A-B, B-C 피어링이 있어도 A-C 통신이 자동으로 되는 것은 아님
  • VPC Peering은 IPv4와 IPv6 모두 사용할 수 있음
  • 리전 간 VPC Peering에서도 IPv6 사용 가능
  • 연결하려는 VPC 간 CIDR이 겹치면 사용할 수 없음

Transit Gateway

  • 여러 VPC와 온프레미스 네트워크를 중앙 허브 형태로 연결하는 서비스
  • VPC Peering보다 대규모 네트워크 관리에 적합
  • 전이 라우팅을 지원
  • Site-to-Site VPN, Direct Connect Gateway와 연계 가능
  • 여러 계정과 여러 VPC를 중앙에서 연결하고 라우팅을 관리할 때 유용
  • Transit Gateway 라우팅 테이블을 분리하여 네트워크 간 통신 범위를 제어할 수 있음
  • Transit Gateway 블랙홀 라우트를 사용하면 특정 목적지로 가는 트래픽을 차단할 수 있음

Site-to-Site VPN

  • Site-to-Site VPN은 온프레미스 네트워크와 AWS VPC를 암호화된 VPN 터널로 연결하는 서비스
  • 인터넷 기반 IPsec VPN 터널을 사용
  • 빠르게 구성할 수 있음
  • 네트워크 품질과 대역폭은 인터넷 환경의 영향을 받음
  • VPN 구성 시 AWS 쪽에는 Virtual Private Gateway 또는 Transit Gateway를 사용할 수 있음
  • 온프레미스 쪽에는 Customer Gateway가 필요
  • Direct Connect의 백업 경로로 Site-to-Site VPN을 함께 구성할 수 있음
  • 비용과 구성 속도 측면에서는 Direct Connect보다 유리할 수 있음
  • 안정적인 고대역폭과 예측 가능한 네트워크 품질이 필요하면 Direct Connect 고려

Direct Connect

  • Direct Connect는 온프레미스와 AWS를 전용 네트워크 회선으로 연결하는 서비스
  • 인터넷을 거치지 않고 전용 연결을 사용
  • 일반적으로 Site-to-Site VPN보다 안정적이고 큰 대역폭을 제공
  • 구성 준비와 회선 개통에 시간이 걸릴 수 있음
  • 1회성 대용량 데이터 이전이 목적이면 Direct Connect보다 Snow Family가 더 적합할 수 있음
  • Direct Connect 자체는 기본적으로 암호화 터널을 제공하는 서비스가 아님
  • 암호화가 필요하면 Site-to-Site VPN over Direct Connect 또는 MACsec 지원 연결을 고려
  • 고가용성이 필요하면 Direct Connect 연결을 이중화하고, 가능하면 서로 다른 위치 또는 장비를 사용

Direct Connect VIF

VIF 유형 용도
Private VIF 온프레미스와 VPC의 프라이빗 리소스 연결
Public VIF 온프레미스에서 S3 같은 AWS 퍼블릭 서비스에 퍼블릭 IP로 접근
Transit VIF Direct Connect Gateway를 통해 Transit Gateway에 연결

VPN vs Direct Connect 비교

항목 Site-to-Site VPN Direct Connect
연결 방식 인터넷 기반 IPsec 암호화 터널 전용 네트워크 회선
구성 속도 비교적 빠름 회선 준비로 시간이 걸림
대역폭/품질 인터넷 품질에 의존 안정적이고 예측 가능
암호화 기본적으로 IPsec 암호화 기본 암호화 없음. 별도 구성 필요
사용 사례 빠른 연결, 백업 경로 안정적인 전용 연결, 고대역폭

AWS Client VPN

  • AWS Client VPN은 사용자가 VPN을 통해 AWS VPC에 안전하게 접속하는 서비스
  • 재택근무자, 외부 사용자, 운영자가 VPC 내부 리소스에 접근해야 할 때 사용
  • EC2에 직접 퍼블릭 IP를 열지 않고, VPN 연결 후 RDP/SSH로 접근 가능
  • 인증 방식으로 Active Directory, SAML, 상호 인증 등을 사용할 수 있음
  • 사용자가 AWS 네트워크에 접속하는 클라이언트 VPN이라는 점에서, 네트워크 간 연결인 Site-to-Site VPN과 구분

Route 53

핵심 개념

  • Route 53은 AWS의 관리형 DNS 서비스
  • 도메인 등록, DNS 라우팅, 헬스 체크, 장애 조치 라우팅 등에 사용
  • 퍼블릭 호스티드 존은 인터넷에서 조회 가능한 DNS 영역
  • 프라이빗 호스티드 존은 특정 VPC 내부에서만 조회 가능한 DNS 영역
  • 단순 장애 조치가 필요하면 Lambda나 CloudWatch로 복잡하게 구성하기보다 Route 53 장애 조치 라우팅을 우선 고려

Route 53 라우팅 정책

정책 설명
Simple 단일 리소스 또는 단순한 DNS 응답 반환
Weighted 지정한 비율에 따라 여러 리소스로 트래픽 분산
Latency 사용자에게 가장 낮은 지연 시간을 제공하는 리전의 리소스로 라우팅
Failover 헬스 체크 기반으로 기본 리소스 장애 시 보조 리소스로 전환
Geolocation 사용자의 대륙, 국가, 주 등 지리적 위치 기반 라우팅
Geoproximity 사용자와 리소스의 지리적 거리 및 bias 값을 기반으로 라우팅
Multivalue Answer 여러 정상 엔드포인트 값을 반환하여 가용성 향상

Route 53 레코드 타입

타입 설명
A 도메인을 IPv4 주소에 매핑
AAAA 도메인을 IPv6 주소에 매핑
CNAME 도메인을 다른 도메인 이름에 매핑
NS 네임 서버 정보
SOA DNS 영역의 권한 시작 정보
MX 메일 서버 정보
TXT 텍스트 정보 저장, 도메인 검증 등에 사용
Alias AWS 리소스에 대한 별칭 레코드. 루트 도메인에도 사용 가능

Route 53 주요 포인트

  • 여러 정상 웹 서버 중 임의의 정상 엔드포인트를 반환하려면 Multivalue Answer Routing 사용
  • DNS 요청 분석이 필요하면 Route 53 Resolver Query Logging 사용
  • 장애 조치 라우팅은 헬스 체크와 함께 사용
  • ALB, CloudFront, S3 정적 웹 사이트 엔드포인트 등 AWS 리소스에는 Alias 레코드를 자주 사용
  • 루트 도메인에는 일반 CNAME을 사용할 수 없으므로 Alias 레코드를 고려

CloudFront

핵심 개념

  • CloudFront는 엣지 로케이션을 통해 사용자에게 콘텐츠를 빠르게 전달하는 CDN 서비스
  • S3, ALB, EC2, API Gateway, Lambda Function URL 등 다양한 오리진과 연결 가능
  • 정적 콘텐츠뿐 아니라 동적 웹 콘텐츠 전송에도 사용할 수 있음
  • 엣지 캐싱을 통해 사용자 지연 시간을 줄이고 오리진 부하를 줄일 수 있음
  • S3 버킷을 오리진으로 사용하는 경우 CloudFront를 통해서만 접근하도록 제한 가능

CloudFront + S3 접근 제한

  • 기존 방식은 OAI, 즉 Origin Access Identity
  • 최신 권장 방식은 OAC, 즉 Origin Access Control
  • OAC를 사용하면 CloudFront가 S3 오리진에 접근할 수 있도록 안전하게 제어 가능
  • 기본 흐름은 User → CloudFront(+WAF) → S3
  • WAF는 CloudFront 배포에 연결하여 웹 요청을 필터링할 수 있음
  • S3 버킷은 퍼블릭으로 열지 않고 CloudFront만 접근하도록 구성 가능

CloudFront 주요 기능

기능 설명
오리진 그룹 기본 오리진 장애 시 보조 오리진으로 Failover
지리적 제한 특정 국가에서의 콘텐츠 접근 허용 또는 차단
서명된 URL/쿠키 제한된 사용자에게만 콘텐츠 제공
필드 수준 암호화 민감한 필드를 엣지에서 암호화하여 오리진으로 전달
Lambda@Edge 엣지에서 요청/응답을 수정하거나 동적 로직 처리
CloudFront Functions 가벼운 Viewer Request/Response 처리에 적합
압축 객체를 압축하여 전송하고 네트워크 비용과 지연 시간 절감
  • Lambda@Edge는 CloudFront 이벤트에 따라 요청 또는 응답을 수정할 때 사용
  • 가벼운 헤더 조작, 리다이렉트, URL 정규화 등은 CloudFront Functions가 더 적합할 수 있음
  • CloudFront는 CDN과 캐싱이 핵심
  • 웹 애플리케이션 보안이 필요하면 WAF와 함께 사용

API Gateway와 CloudFront

  • API Gateway의 엣지 최적화 엔드포인트는 CloudFront를 사용하여 글로벌 사용자에게 더 낮은 지연 시간을 제공
  • 리전 엔드포인트는 특정 리전에 배치된 API 엔드포인트
  • 갑작스러운 요청 증가로 백엔드가 부담될 수 있으면 API Gateway 뒤에 SQS를 두어 처리량을 완충할 수 있음
  • 여러 고객에게 개별 URL을 제공해야 하면 와일드카드 사용자 지정 도메인과 와일드카드 ACM 인증서를 고려할 수 있음

Global Accelerator

핵심 개념

  • Global Accelerator는 AWS 글로벌 네트워크를 사용해 애플리케이션으로 가는 경로를 최적화하는 서비스
  • TCP/UDP 트래픽의 성능과 가용성을 높이는 데 사용
  • 고정 Anycast IP를 제공
  • 정상 엔드포인트로 트래픽을 보내고, 리전 장애 시 다른 엔드포인트로 우회 가능
  • 캐싱을 제공하지 않음
  • ALB, NLB, EC2, Elastic IP 등을 엔드포인트로 사용할 수 있음
  • 글로벌 사용자에게 안정적인 네트워크 경로와 고정 진입점이 필요할 때 적합

CloudFront vs Global Accelerator

항목 CloudFront Global Accelerator
목적 CDN, 콘텐츠 캐싱, 웹 콘텐츠 전송 최적화 네트워크 라우팅 최적화, 고정 Anycast IP
주요 프로토콜 HTTP/HTTPS 중심 TCP/UDP
정적 IP 기본 목적 아님 고정 Anycast IP 제공
캐싱 지원 미지원
오리진/엔드포인트 S3, ALB, EC2, API Gateway 등 ALB, NLB, EC2, Elastic IP 등
주 용도 정적/동적 웹 콘텐츠 전송 TCP/UDP 애플리케이션 가속, 리전 장애 우회
  • 콘텐츠 캐싱과 CDN이 핵심이면 CloudFront
  • 고정 IP와 TCP/UDP 네트워크 경로 최적화가 핵심이면 Global Accelerator

네트워크 보안 서비스

서비스 용도
AWS WAF HTTP/HTTPS 애플리케이션 계층 공격 방어
Shield Standard 기본 DDoS 보호. 무료 제공
Shield Advanced 고도화된 DDoS 보호와 추가 대응 지원
AWS Network Firewall VPC 트래픽에 대한 관리형 네트워크 방화벽
Traffic Mirroring VPC ENI 트래픽을 복제하여 보안 분석 도구로 전송
Firewall Manager 여러 계정의 WAF, Shield, 보안 그룹, Network Firewall 정책 중앙 관리
VPC Lattice 여러 VPC와 계정에 걸친 서비스 간 통신과 접근 제어 단순화
GuardDuty 위협 탐지 서비스

WAF

  • WAF는 웹 애플리케이션 방화벽
  • HTTP/HTTPS 요청을 검사하고 차단 또는 허용 가능
  • SQL Injection, XSS, 악성 IP, 특정 헤더/URI 조건 차단 등에 사용
  • CloudFront, ALB, API Gateway 등에 연결 가능
  • NLB에는 WAF를 직접 연결할 수 없음

Shield

  • Shield Standard는 기본 DDoS 보호를 제공
  • Shield Advanced는 더 강한 DDoS 보호, 비용 보호, DDoS 대응 지원이 필요한 경우 사용
  • Shield Advanced는 CloudFront, Route 53, Global Accelerator, ELB, EC2 Elastic IP 등 인터넷 노출 리소스 보호에 사용

Network Firewall

  • AWS Network Firewall은 VPC 트래픽을 검사하고 필터링하는 관리형 방화벽
  • 상태 기반 방화벽 규칙과 침입 방지 성격의 규칙을 구성할 수 있음
  • VPC 경계 또는 서브넷 간 트래픽 제어가 필요한 경우 사용

Traffic Mirroring

  • Traffic Mirroring은 ENI의 네트워크 트래픽을 복제하여 별도 보안 분석 장비나 모니터링 도구로 보내는 기능
  • 침입 탐지, 패킷 분석, 네트워크 포렌식에 사용
  • 트래픽을 차단하는 기능이 아니라 분석용으로 복제하는 기능

Firewall Manager

  • Firewall Manager는 AWS Organizations 기반으로 여러 계정의 보안 정책을 중앙 관리하는 서비스
  • 여러 계정에 WAF 규칙, Shield Advanced 보호, 보안 그룹 정책, Network Firewall 정책 등을 일괄 적용할 수 있음

GuardDuty

  • GuardDuty는 위협 탐지 서비스
  • VPC Flow Logs, DNS 로그, CloudTrail 이벤트 등을 분석하여 의심스러운 활동을 탐지
  • 직접 트래픽을 차단하는 방화벽 서비스는 아님
  • 탐지 결과를 EventBridge, Lambda, Security Hub 등과 연동하여 대응 자동화 가능

네트워크 서비스 선택 기준 요약

요구사항 적합한 서비스
AWS 내 논리적 격리 네트워크 구성 VPC
퍼블릭 리소스의 인터넷 통신 Internet Gateway
프라이빗 서브넷의 IPv4 아웃바운드 인터넷 접근 NAT Gateway
IPv6 아웃바운드 전용 인터넷 접근 Egress-only Internet Gateway
인스턴스 단위 방화벽 Security Group
서브넷 단위 방화벽 및 특정 CIDR 차단 NACL
S3/DynamoDB 프라이빗 접근 및 NAT 비용 절감 Gateway Endpoint
AWS 서비스 또는 PrivateLink 서비스 프라이빗 접근 Interface Endpoint
특정 서비스만 비공개로 노출 PrivateLink
소수 VPC 간 직접 연결 VPC Peering
다수 VPC와 온프레미스 중앙 연결 Transit Gateway
온프레미스와 AWS 간 빠른 암호화 연결 Site-to-Site VPN
온프레미스와 AWS 간 전용 회선 Direct Connect
사용자 단말에서 VPC 접속 AWS Client VPN
DNS 라우팅과 장애 조치 Route 53
콘텐츠 캐싱과 CDN CloudFront
TCP/UDP 애플리케이션 가속과 고정 Anycast IP Global Accelerator
웹 요청 기반 보안 제어 AWS WAF
DDoS 보호 Shield
VPC 트래픽 검사 Network Firewall
트래픽 복제와 보안 분석 Traffic Mirroring
여러 계정 보안 정책 중앙 관리 Firewall Manager
위협 탐지 GuardDuty

'자격증 > SAA' 카테고리의 다른 글

[AWS SAA] 모니터링 / 운영  (0) 2026.06.22
[AWS SAA] 보안 / IAM  (0) 2026.06.22
[AWS SAA] 데이터베이스  (0) 2026.06.21
[AWS SAA] 스토리지  (0) 2026.06.21
[AWS SAA] 컴퓨팅  (0) 2026.06.21