기업의 기본 보안 정책은 망분리이다.

하지만 public cloud는 open이 되어 있는데 망분리를 어떻게 하느냐이다. 결론부터 말하면 public cloud에서 자체 네트워크 망을 구성하면서 네트워크를 격리를 하는 구성이 가능하다. 이런 기능을 하는 서비스가 VPC이다. 최상위 서비스이며, VPC는 pricing 서비스이다. VPC는 물리적으로는 AWS의 같은 서버 안에 있지만 논리적으로 네트워크를 분리한다. ( 네트워크가 가상화 되어 있고 NAT 가 이 정책에 맞게 잘 전달한다. ) VPC는 기본 내부망이다. 서브넷을 생성할수 있으며, 네트워크 IP 정책을 내부망처럼 가져갈 수 있다. 인터넷이 필요한 경우에만 인터넷 망을 연결한다. (IGW 를 통해서 )

 

대부분의 큰 기업은 회사망을 분리하여 내부망을 구축하고 관리하며, 이에 대한 규칙, 관리 정책등이 있다 이러한 관리 규칙에는 NETWORK를 서브넷으로 나누어 관리하며, IP 정책이 있다. 신규 스타트업이 새로운 사업을 모드 AWS에서 시작한 경우를 제외하고는 대부분의 기업은 private한 온프레미스 On-premise 로 된 내부 서버를 가지고 있다. AWS로 일부 서비스를 구동시 반드시 기존 온프레미스 환경과 연동이 필요하다. 이러한 서버간에 동일한 보안정책과 관리 정책을 적용하려면 AWS에 있는 서버들이 같은 내부망으로 인식되는 것이 가장 좋은데, 이러한 것을 가능하게 해주는 것이 VPC이다.

 

즉 구동되는 클라우드 환경은 public이지만 내부의 네트워크는 마치 회사의 네트워크 처럼 가능되므로 망분리 컨셉과 회사의 관리 정책에 일관성을 줄 수 있다. 회사의 VPC는 public 클라우에 있는 내부 네트워크 및 장비이므로  여기에 접속하기 위해서는 VPN으로 접속하여야 한다.

 

VPN을 일반 인터넷 회선으로 접속하기에는 기업망이니 좀 더 높은 대역폭 확보를 위해서 전용선을 설치할 수도 있는데 이러한 솔루션이 DX (Direct Connect ) 이며 전용선 구축은 AWS 파트너가 진행한다.

 

VPC의 구성시 최우선 설정은 해당 네트워크의 CIDR을 통한 내부IP 체게와 의 IP범위 설정이다. 

192.168.0.0/16을 정하면 2^16 = 65536개의 IP를 할당할 수 있다. 고민과 설계를 잘 하여야 되는 것이 VPC는 내부망이므로 해당 VPC 별로 격리가 되며 최상위 네트워크 정책을 가지게 된다. 그리고 EC2나 다른 자원은 이 VPC에 기반으로 만들어지므로, VPC의 설정을 변경하려면 VPC내의 모든 자원을 deallocate 및 delete하고 나서 VPC의 설정을 변경해야한다. 즉, 한변 만들면 변경이 불가하다고 판단해야 한다.

 

VPC간에는 기본 설정은 격리이다. VPC간의 통신이 필요하다면 VPC peering으로 연결하지만, 기본은 분리이다. 그러니 회사에서 분리하고 싶은 정책, 예를 들어 개발계와 운영계 망을 분리하고 별도의 네트워크와 보안정책을 만들고 싶다면 2개의 VPC를 만들어서 하나는 개발 VPC, 다른 하나는 운영 VPC를 만들고 CIDR를 개발은 192.168.1.0/ 24 면 256 (사용가능 IP는 251개 서브넷중 reserved ip :  0 (network), 1 (router), 2(dns), 3(future) 255(broadcaset) 용도로 미리 예약되어 있음) 개의 IP를 가지는 개발 VPC가 만들어지고, 10.10.100.0/24로 운영 VPC를 만들면 기본적으로 개발망과 운영망은 분리가 되고 서로 다른 IP체계를 가져갈 수 있으며, IP의 A,B 클래스가 규칙이 다르므로 혼동해서 잘못 접속할 일이 없다.

 

서브넷은 VPC내에서는 public subnet, private subnet, vpn only subnet 등 필요에 따라 서브넷 생성 가능, 서브넷은 AZ당 하나만 구성 가능, 여러개의 AZ로 연결되는 서브넷은 만들 수 없음. 하나의 VPC에 3개의 AZ가 있는 경우는 각 AZ마다 별도의 서브넷ㅇ르 생성해야함. 하나의 AZ에 여러개의 서브넷은 추가 가능. IP는 유한하고 정해진 자원이므로 계획하여 잘 할당하여야 한다.

 

라우드 테이블 ( route table)

네트워크 패킷의 전송방향을 결정하는 라우트와 관련된 규칙을 가지고 있는 테이블, 목적지를 향한 최적의 경로로 데이터 패킷을 전송하기 위한 모든 정보 보유, 모든 서브넷은 라우트 테이블을 보유, 라우트 테이블이 있어야 다른 서브넷에 접근하거나 인터넷으로 패킷이 나갈수 있다, VPC의 기본 라우트 테이블 (메인 라우드 테이블)은 자동 생성, 수정 불가.

 

 

 

 

m.blog.naver.com/PostView.nhn?blogId=s2kiess&logNo=220679395249&proxyReferer=https:%2F%2Fwww.google.com%2F

 

망분리의 개념 및 유형

1. 망분리의 개념이름 그대로 망을 분리하는 것이다. 외부 인터넷망과 업무망을 분리하는 것을 말한다. 종...

blog.naver.com

 

 

저작자표시 (새창열림)

'AWS > AWS Advanced Day 3' 카테고리의 다른 글

12 AWS NACL VPC Peering VPC Endpoint  (0) 2021.01.18
11 AWS IGW NATGW EIP  (0) 2021.01.14

+ Recent posts

티스토리툴바