[AWS SAA] 57. AWS Firewall Manager

AWS Firewall Manager

AWS WAF 및 VPC 보안 그룹의 관리 및 유지 관리 태스크를 단순화합니다. WAF 방화벽 규칙, Shield 보호 및 VPC 보안 그룹을 한 번만 설정하면 됩니다. 새로운 리소스를 추가하는 경우에도 서비스가 계정과 리소스에 규칙과 보호를 자동으로 적용합니다. Firewall Manager에서는 다음과 같은 작업을 수행할 수 있습니다.

• 여러 애플리케이션과 계정에서 간편하게 규칙 관리
• 자동으로 새 계정 검색 및 규정 미준수 이벤트 수정
• AWS Marketplace에서 WAF 규칙 배포
• 모든 계정에서 신속하게 공격에 대응

Firewall Manager를 사용하는 경우, 새로운 애플리케이션이 생성될 때 새로운 애플리케이션 및 리소스가 처음부터 공통 보안 규칙 세트를 준수하도록 할 수 있습니다. 이를 통해 단일 서비스를 통해 방화벽 규칙을 수립하고, 보안 정책을 생성하며, 전체 AWS 인프라에 걸쳐 일관된 계층형 방식으로 이를 적용할 수 있게 됩니다.

 

이 서비스를 사용하려면 전체 기능을 갖춘 AWS Organizations를 활성화하고, AWS Config를 사용하고, Firewall Manger 관리자로 할당된 사용자가 있어야 하는 세가지 사전 조건이 있습니다.

 

사용 예시

 

사용 사례

AWS 클라우드에서 실행하는 애플리케이션 수가 증가함에 따라 대규모로 규정 준수를 관리하는 방식을 숙지해야 합니다. 애플리케이션 수가 늘어나면 발생하는 몇 가지 문제는 다음과 같습니다.

• 계정 및 리소스 수가 많아짐 - 모든 계정 및 리소스에서 중앙 집중식으로 보안 정책을 관리하기 어려워집니다.
• 지속적으로 새 앱이 생성됨 - 모든 앱이 첫날에 일관되게 보호되는지 확인하는 것은 어렵습니다.
• 조직 전체 위협에 대한 가시성 - 조직 전체의 위협을 모니터링하고 대응할 수 있는 단일 장소가 없습니다.

AWS Firewall Manger를 사용해 환경 내의 클라우드 보안 및 모니터링 범위를 확장할 수 있습니다.

 

DDoS 복원력

위 다이어그램에서 AWS Shiled 및 WAF는 아키텍처의 엣지에 배치되고 문지기 역할을 하여 트래픽을 허용 또는 거부합니다. Shield는 일반적인 3 계층 및 4 계층 인프라 공격으로부터 인프라를 보호합니다. WAF는 7 계층인 애플리케이션 계층을 보호합니다.

 

Route 53, CloudFront 등의 서비스를 AWS 엣지 로케이션에서 사용할 수 있는 서비스를 사용하면 엣지 로케이션의 글로벌 네트워크를 활용할 수 있습니다. 여러 엣지 로케잇녀을 사용하는 경우 애플리케이션에 더 큰 내결함성과 대량의 트래픽 관리를 위한 향상된 스케일링 기능을 제공할 수 있습니다.

 

기존 데이터 센터 환경에서는 인프라 계층 DDoS 공격을 완화할 수 있습니다. 용량 오버프로비저닝, DDoS 완화 시스템 배포, DDoS 완화 서비스를 통한 트래픽 스크러빙 등의 기술을 사용할 수 있습니다. AWS에서 DDoS 완화 기능은 자동으로 제공됩니다. 이러한 기능을 가잘 잘 활용하는 아키텍처를 선택하면 애플리케이션의 DDoS 복원력을 최적화할 수 있으며, 과도한 트래픽에 맞게 아키텍처 크기를 조정할 수 있습니다.

 

적용 모범 사례