[AWS SCS] AWS Network Firewall - 아키텍쳐

AWS Network Firewall 배포 아키텍처 가이드

AWS Network Firewall은 VPC 수준의 보안을 강화하고 네트워크 트래픽을 철저히 관리할 수 있는 강력한 솔루션입니다. 이번 글에서는 네트워크 방화벽의 배포 아키텍처와 트래픽 흐름, 그리고 이를 활용한 자동화된 보안 대응 방법을 소개합니다.

---

1. 기본 아키텍처 구성

주요 구성 요소

• 보호된 VPC
  • 방화벽 서브넷: AWS Network Firewall 서비스와 연결된 방화벽 엔드포인트 포함
  • 보호된 서브넷: 애플리케이션 로드 밸런서(ALB) 및 NAT 게이트웨이 배치
  • 프라이빗 서브넷: EC2 인스턴스 배치
  • 인터넷 게이트웨이(IGW) 포함

라우팅 테이블 설정

• 프라이빗 서브넷 라우팅 테이블: NAT 게이트웨이로 연결
• 보호된 서브넷 라우팅 테이블: 방화벽 엔드포인트로 연결
• 방화벽 서브넷 라우팅 테이블: 기본 라우팅 유지
• 인터넷 게이트웨이의 Ingress 라우팅 테이블: 방화벽 엔드포인트로 연결

---

2. 트래픽 흐름 분석

아웃바운드 트래픽

1. EC2 인스턴스 → NAT 게이트웨이 → 방화벽 엔드포인트
2. 네트워크 방화벽에서 트래픽 점검 및 승인
3. 인터넷 게이트웨이를 통해 외부 인터넷으로 전송

인바운드 트래픽

1. 인터넷 게이트웨이 → 방화벽 엔드포인트
2. 네트워크 방화벽에서 트래픽 점검 및 승인
3. 애플리케이션 로드 밸런서(ALB) → EC2 인스턴스 전달
4. EC2 인스턴스 응답: ALB → 방화벽 엔드포인트 → 인터넷 게이트웨이 → 외부 인터넷으로 전송

---

3. 네트워크 방화벽 규칙 자동화

AWS Network Firewall은 AWS 보안 서비스와 통합하여 보안 규칙을 자동화할 수 있습니다.

GuardDuty를 통한 자동 차단 프로세스

1. 위협 탐지 및 보고: GuardDuty가 의심스러운 IP 또는 활동을 감지하여 Security Hub에 보고서를 생성
2. 자동화된 규칙 추가:
   • EventBridge가 Step Function을 트리거
   • Step Function이 공격 IP를 데이터베이스와 비교
   • IP가 차단 대상일 경우, Network Firewall API를 통해 규칙 그룹에 추가
3. 알림 전송: SNS를 통해 성공 또는 실패 상태를 알림

---

4. 암호화된 트래픽 분석

AWS Network Firewall은 TLS 트래픽을 복호화하고 깊은 패킷 검사(DPI)를 수행할 수 있습니다.

암호화 트래픽 처리 과정

1. TLS 복호화: 네트워크 방화벽이 AWS Certificate Manager(ACM)와 통합하여 TLS 트래픽 복호화
2. 트래픽 검사: 악성 콘텐츠 또는 비정상적인 패턴 탐지
3. 트래픽 재암호화: 검사를 통과한 트래픽만 재암호화 후 대상지로 전송

---

5. AWS Network Firewall의 장점

• 통합 관리: 여러 VPC 및 계정을 아우르는 중앙 집중식 규칙 관리
• 유연한 트래픽 제어: 인바운드/아웃바운드 트래픽에 대한 세밀한 규칙 설정
• 자동화된 보안: GuardDuty와 EventBridge로 위협 탐지 및 차단 자동화
• 암호화 지원: TLS 트래픽에 대한 심층 분석 가능

---

결론

AWS Network Firewall은 고급 네트워크 보안을 구현하는 데 필요한 강력한 기능과 유연성을 제공합니다. 트래픽 제어와 규칙 자동화를 통해 보안 관리를 효율적으로 수행하고, TLS 암호화 트래픽에 대해서도 철저한 검사를 지원합니다.