[reinvent 2024] 중앙 집중식 네트워크 트래픽 검사: 주요 인사이트 및 교훈

Networking, Security, Compliance & Identity

Summary

AWS Transit Gateway 또는 AWS Cloud WAN과 AWS Network Firewall 또는 Gateway Load Balancer를 사용한 중앙 집중식 네트워크 트래픽 필터링은, 많은 고객이 채택하는 공통 아키텍처입니다. 이 아키텍처는 운영 및 비용 효율성 측면에서 많은 이점을 가지고 있습니다. 이 세션에서는 중앙 집중식 검사의 장점을 살펴보고 고객과 협력하여 이 아키텍처를 성공적으로 계획하고 실행하기 위한 AWS 경험에서 귀중한 교훈을 얻어가세요.


리인벤트 2024 테크 블로그의 더 많은 글이 보고 싶다면?

Tech Blog

AWS re:Invent 2024 Tech Blog written by MegazoneCloud

Overview

  • Title: Centralized network traffic inspection: Key insights & lessons learned
  • Date: 2024년 12월 2(월)
  • Venue: MGM Grand | Level 3 | 307
  • Speaker:
  • Joe Flanagan, Senior Networking Specialist SA, AWS
  • Mehdi Dahane, Specialist Solutions Architect – Networking, Amazon Web Services
  • Industry: –

들어가며

이번 세션에서는 “중앙집중화된 네트워크 트래픽 검사”를 주제로 AWS Network Firewall과 관련된 주요 개념과 실전 사례를 다뤘습니다. 이 세션을 선택한 이유는 네트워크 보안의 최신 트렌드와 이를 비용 효율적으로 운영할 수 있는 방안을 배우기 위함이었습니다. 특히, 이번 세션에서 주요하게 다뤄지는 내용은 중앙 집중형과 분산형 아키텍처 비교, AWS Firewall Manager와 같은 통합 보안 관리 도구, 그리고 Cloud WAN을 통한 글로벌 네트워크 관리의 확장성이었습니다.

AWS Network Firewall의 기본 기능과 관리

AWS Network Firewall은 완전히 관리되는 서비스로, 딥 패킷 검사, IPS(침입 방지 시스템), 웹 필터링 등을 지원하며 중앙에서 관리할 수 있다고 합니다.

AWS Network Firewall은 네트워크 보안 운영에서 고객의 부담을 크게 줄이는 완전 관리형 서비스입니다. 보안 정책, 네트워크 가시성, 확장성 모두 AWS Firewall Manager를 통해 통합 관리가 가능합니다. 이 서비스는 고가용성을 기본으로 제공하며, 트래픽 암호화 검사도 지원해 네트워크 보호를 한층 강화한다고 합니다. 특히, AWS Network Firewall은 파트너 생태계와 통합이 가능하여, 타사 방화벽 어플라이언스를 쉽게 클라우드 환경에 적용할 수 있다는 점이 큰 장점으로 보였습니다.

중앙 집중형과 분산형 아키텍처의 비교

중앙 집중형 아키텍처는 비용 효율성이 뛰어나지만, 그에 반하여 분산형 아키텍처는 애플리케이션 소유자의 자율성을 강화한다고 합니다.

중앙 집중형 아키텍처는 방화벽 관리와 비용 구조를 단순화하고 모든 트래픽을 하나의 방화벽을 통해 검사하므로 정책 관리가 용이하고, NAT Gateway와 같은 비용도 절감할 수 있습니다. 반면, 분산형 아키텍처는 각 VPC 소유자가 방화벽을 직접 운영하며, 라우팅이 간소화되는 장점이 있습니다. 하지만 분산형은 여러 NAT Gateway와 방화벽 엔드포인트를 배포해야 하므로, 대규모 트래픽 환경에서는 비용이 급격히 증가할 수 있다는점 고려해야 될거 같습니다.

보안 정책 최적화와 자동화

중앙집중식 보안 정책은 관리 복잡성을 줄이고, 개발자가 빠르게 요청을 처리할 수 있도록 돕는다고 합니다.

AWS Network Firewall을 통한 중앙집중식 보안 정책 관리는 보안 관리 효율성을 극대화합니다. 정책에는 IP 주소 대신 변수와 prefix list를 사용해 변경 시 유연성을 높일 수 있습니다. 또한, 자동화된 승인 및 배포 프로세스를 통해 개발자의 요청 처리 시간을 단축하며, 이러한 프로세스는 개발자와 운영자 간의 협업을 강화하는 데 기여한다고 합니다.

비용 분석과 차지백 관리

중앙집중식 차지백 시스템은 네트워크 보안 비용의 투명성과 예측 가능성을 개선한다고 합니다.

AWS Transit Gateway 및 Cloud WAN을 사용할 때 각 계정의 트래픽 사용량에 따라 정확한 차지백(비용 배분)이 가능합니다. 고객은 Flow Logs와 Athena를 활용해 트래픽 사용량을 분석하고, AWS Cost and Usage Report로 각 계정에 비용을 할당할 수 있다고 합니다. 이러한 접근법은 네트워크에서 실제로 발생한 비용만 부담하면 되므로 보안 비용에 대해 명확하게 알수있는 좋은 접근법인거 같습니다.

Cloud WAN을 활용한 글로벌 네트워크 관리

AWS Cloud WAN은 글로벌 네트워크 관리를 단순화하며, 동적 라우팅을 지원해 대규모 네트워크 관리 부담을 줄여준다고 합니다.

AWS Cloud WAN은 단일 관리 인터페이스에서 글로벌 네트워크를 설정, 관리, 모니터링할 수 있는 도구입니다. 이 솔루션은 정책 기반으로 네트워크 세그먼트를 정의하고, 동적 라우팅을 통해 복잡한 트래픽 관리를 효율화한다고 합니다. 특히, Cloud WAN은 Direct Connect Gateway와의 통합을 지원하여 온프레미스와 클라우드 네트워크의 연결을 좀 더 쉽게 할수 있도록 지원합니다. 이를 통해 글로벌 환경에서도 효율적인 트래픽 흐름을 유지할 수 있을 것 같습니다.

결론

마지막으로 아키텍처 요약으로 중앙화 되고 관리 편의성이 높도록 설계된 아키텍처를 보여주었습니다. AWS 행사이니만큼 AWS 서비스만으로 구성한 점에서 아쉬움이 남고 적용할 수 있는 서비스들은 이미 적용되어 있는 아키텍처이기는 했지만 AWS 미국과 AWS 한국 직원이 생각하고 추천해주는 아키텍처가 비슷하다는 점에서 약간의 흥미로움도 발견할 수 있었습니다.

글 │메가존클라우드, Cloud Technology Center (CTC), Cloud FSI SA 3 팀, 정하훈 SA
리인벤트 2024 테크 블로그의 더 많은 글이 보고 싶다면?
게시물 주소가 복사되었습니다.