개요
귀하는 AnyCompany의 네트워크 보안 엔지니어입니다. AnyCompany의 예정된 클라우드 마이그레이션을 준비하기 위해 AWS에서 보안 네트워크 인프라를 생성하는 업무를 담당하고 있습니다. AnyCompany는 현재 온프레미스에 3계층 네트워크 보안 인프라를 보유하고 있습니다.
- 퍼블릭 액세스 영역은 웹 서버에 대한 기본 연결 지점 역할을 하는 로드 밸런서를 호스팅합니다.
- 웹 서버 영역은 웹 사이트의 프런트 엔드 서버를 호스팅합니다.
- 데이터베이스 영역은 웹 사이트에 데이터를 제공하는 백엔드 데이터베이스 서버를 호스팅합니다.
각 영역이 서로 안전하게 분할되고 특정 유형의 트래픽만 영역 간에 흐르도록 하여 회사의 웹 사이트와 애플리케이션을 지원해야 합니다.
이 실습에서는 퍼블릭 및 프라이빗 서브넷, 보안 그룹, 네트워크 ACL을 사용하여 3개 보안 영역 네트워크 인프라를 생성합니다. 그런 다음 VPC 흐름 로그를 사용하여 각 영역의 리소스에 도달하는 트래픽을 모니터링하여 필요한 트래픽만 허용되는지 확인합니다.
목표
이 실습을 마치면 다음을 수행할 수 있습니다.
- 3개 보안 영역 네트워크 인프라 생성
- 보안 그룹, 네트워크 ACL, 퍼블릭 및 프라이빗 서브넷을 사용하여 네트워크 세분화 구현
- VPC 흐름 로그를 사용하여 EC2 인스턴스에 대한 네트워크 트래픽 모니터링
필수 기술 지식
이 실습을 성공적으로 완료하려면 AWS Management Console을 탐색하는 데 익숙하고 네트워킹 개념에 대한 기본적 이해가 있어야 합니다.
소요 시간
이 실습을 완료하는 데 약 _45_분이 소요됩니다.
아이콘 키
이 실습에서는 다양한 유형의 지침 및 참고 사항에 대한 주의를 환기하기 위해 다양한 아이콘이 사용됩니다. 다음은 각 아이콘의 용도에 대한 설명입니다.
- 명령 또는 편집된 파일의 출력을 확인하는 데 사용할 수 있는 샘플 출력입니다.
- 힌트, 팁 또는 중요한 가이드입니다.
- 자세한 정보를 찾을 수 있습니다.
- 특별한 관심이 필요한 중요한 정보입니다(놓쳐도 장치 또는 데이터에 문제가 발생할 정도로 중요하지는 않지만 특정 단계를 반복해야 할 수 있음).
- 자신의 환경에 개념을 적용하는 방법을 고려하거나 당면한 주제에 대한 대화를 시작하기 위해 일시 중지할 시점입니다.
- 이해도를 확인하고 학습한 내용을 테스트하는 기회입니다.
- 질문 또는 도전 과제에 대한 힌트입니다.
환경 개요
아래 다이어그램에 실습 환경의 기본 아키텍처가 나와 있습니다.
아래 목록에 다이어그램의 주요 리소스 관련 세부 정보가 나와 있습니다.
- 퍼블릭 서브넷 1개와 프라이빗 서브넷 2개가 있는 1번째 가용 영역의 VPC와 퍼블릭 서브넷 1개가 있는 2번째 가용 영역의 VPC
- 퍼블릭 서브넷마다 1개씩 총 2개의 노드가 있는 Network Load Balancer
- 1번째 프라이빗 서브넷의 웹 서버 역할을 하는 EC2 인스턴스
- 2번째 서브넷의 데이터베이스 서버 역할을 하는 EC2 인스턴스
- 목적에 따라 인스턴스마다 1개씩 총 2개의 보안 그룹
네트워크 트래픽은 외부 사용자에서 시작해 2개의 Network Load Balancer 노드 중 1개의 인터넷 게이트웨이를 거쳐 웹 서버로 이동합니다. 웹 서버에서 실행되는 워드프레스 블로그 사이트의 URL이 요청되면 데이터베이스 서버로도 트래픽이 이동합니다.
Application Load Balancer 인증서 생성과 관련된 실습 플랫폼의 현재 제한 사항으로 인해 Network Load Balancer가 대신 사용됩니다. 로드 밸런서는 웹 서버로 들어오는 트래픽에 대한 통과 역할을 하며 어떤 식으로든 트래픽을 분석하거나 변환하지 않습니다. 프로덕션 환경에서는 Application Load Balancer를 사용하여 추가 기능 및 보안 조치를 활용할 수 있습니다. 예를 들어 클라이언트의 HTTPS 요청이 웹 서버에 도달하기 전에 해당 요청을 수락하고 처리합니다. 각 Elastic Load Balancer 유형의 기능에 대한 자세한 내용은 이 실습 끝부분에 있는 추가 리소스 섹션의 Elastic Load Balancing 제품 비교를 참조하십시오.
