외부의 유해한 환경으로부터 서버나 네트워크등 IT자산을 보호하기 위한 보편적인 방법으로 방화벽을 주로 사용하고 있습니다. 아마존웹서비스에서 Elastic Computer Cloud(EC2) 인스턴스를 생성하였으면 EC2 인스턴스의 보안을 위하여 방화벽 기능을 설정할 수가 있습니다. 방화벽은 내부망에 위치한 EC2 인스턴스와 외부의 인터넷망 사이의 경계선에 위치하며, 모든 트래픽이 방화벽을 거쳐서 지나가게 함으로써 외부의 비인가자가 내부 네트워크에 접근하지 못하도록 하고 또한 내부의 비인가된 네트워크 트래픽이 외부로 전송되는 것을 효과적으로 통제할 수 있는 보안시스템입니다. AWS에서는 방화벽 기능을 논리적 명칭으로 '보안그룹'으로 표시합니다. 방화벽은 인터넷프로토콜과 IP를 조합하여 통제하는 방식을 사용하고 있습니다. 방화벽 보안정책은 모든 트래픽을 차단하고 설정된 보안규칙(정책)에 따라서 해당 트래픽만 통과하도록 하는 원칙을 가지고 있습니다.
EC2의 보안그룹 생성
이미 EC2를 생성하는 과정에서 네트워크 설정 편에서 보안그룹, 즉 방화벽에 대한 언급이 있었습니다. 보안그룹을 생성할 수도 있고, 이미 보안그룹을 사용하고 있으면 해당 방화벽 보안정책으로 그대로 새로 생성되는 EC2에 적용도 가능합니다. SSH트래픽허용, 인터넷에서 HTTPS트래픽허용, 인터넷에서 HTTP트래픽등의 선택유무에 따라 보안그룹에 반영되어 인바운드 보안정책의 허용 인터넷프로토콜로 등록됩니다. 또한, 허용 IP는 위치무관/사용자지정/내 IP로 지정이 가능하며 다음과 같은 의미를 가지고 있습니다.
◇ 위치무관 - 모든 IP 허용
◇ 사용자지정 - 사용자가 지정한 IP만 허용함
◇ 내 IP - 현재 내 IP만 허용함
'아마존웹서비스(AWS)에서 웹서버 구축하기' 편을 참조 바랍니다.
방화벽 시작하기
생성된 EC2를 클릭하면 인스턴스의 상세정보를 표시하는 탭이 표시되며 여기에서 '보안'탭을 선택합니다. EC2에 해당하는 방화벽 정책설정을 위해서는 보안그룹을 선택하여 클릭합니다.
인바운드 보안정책 설정
보안그룹을 선택하여 클릭하면 인바운드와 아웃바운드 보안정책을 설정할 수 있는 화면이 나옵니다. 인바운드정책(규칙)을 클릭하여 인바운드 보안정책을 설정합니다. EC2 생성 시에 반영된 보안정책이 인바운드 보안정책에 이미 반영되어 있음을 알 수 있습니다. 보안정책은 유형(프로토콜)과 소스(IP)를 조합하여 수립할 수 있습니다. SSH, HTTP 등 잘 알려진 프로토콜(Well-known Port)은 프로토콜명칭으로 표시되지만 그렇지 않은 경우에는 사용자지정 TCP/UDP Port Number로 숫자가 표시됩니다. 사용자지정 TCP/UDP로 선택하면 Port범위가 활성화되어 Port Number를 입력할 수 있습니다. 소스를 클릭하면 IPv4형식으로 IP를 지정, IPv6형식으로 IP를 지정하거나 작업자의 IP를 지정할 수 있습니다. 소스선택에 따라서 IP가 표시되거나 또는 입력을 받을 수 있도록 되어 있습니다. '삭제'를 클릭하면 필요 없는 보안정책을 삭제할 수 있으며, '추가'를 클릭하면 보안정책을 추가할 수도 있습니다.
아웃바운드 보안정책
아마존웹서비스(AWS)의 디폴트 아웃바운드 보안정책은 내부에서 외부로 향하는 모든 트래픽을 허용하는 정책으로 설정되어 있습니다. 과거에는 내부에서 외부로 전송되는 트랙픽을 제한 없이 통과하도록 정책을 설정하여 사용의 편의성에 중점을 두었으나, 현재는 외부 해킹기술의 발전으로 Reverse Telnet공격등에 취약함에 따라 아웃바운드 보안정책도 설정해서 사용하여야 보안의 취약점을 최소화할 수 있습니다.
디폴트의 모든 트래픽 허용정책은 삭제를 하고, SSH 등 필요한 프로토콜과 IP를 지정하여 보안정책을 강화하는 방향으로 아웃바운드 보안정책을 설정하기를 권고합니다.
마무리
아마존웹서비스(AWS)에서의 방화벽기능이나 보안정책설정 방법에 대해서 살펴보았습니다. 방화벽시스템은 보안을 강화하기 위한 효과적인 시스템이지만 잘못된 보안정책은 시스템 장애로 이어질 수도 있습니다. 방화벽시스템을 조금이라도 이해하는데 도움이 되었기를 희망합니다.
'관심분야' 카테고리의 다른 글
블로그를 위한 간단한 사진편집과 용량 최소화하기 (1) | 2023.01.23 |
---|---|
내 서버에 SSL인증서 설치 따라하기 (0) | 2023.01.21 |
[인터넷쇼핑몰구축] 내서버에 도메인네임-사이트주소 간단하게 연결하기 (0) | 2023.01.21 |
[인터넷쇼핑몰구축] 아마존웹서비스(AWS) 사용을 위한 초간단 가입등록 (0) | 2023.01.12 |
아마존웹서비스(AWS)에서 웹서버 구축 따라하기 (0) | 2023.01.11 |
댓글