[AWS SCS] Network Load Balancer 보안

네트워크 로드 밸런서(Network Load Balancer, NLB) 보안 개념 정리

**네트워크 로드 밸런서(NLB)**는 TCP 및 UDP 트래픽을 처리하는 4계층 로드 밸런서로, 높은 성능과 초저지연의 트래픽 처리 능력을 제공합니다. 이번 글에서는 NLB의 주요 보안 개념과 설정 방법을 정리해보겠습니다.

---

1. 클라이언트 IP 유지(Client IP Preservation)

NLB는 클라이언트 IP 주소를 타겟으로 전달할 수 있는 기능을 제공합니다.
클라이언트 IP 유지 기능은 활성화 여부에 따라 다르게 작동합니다.

클라이언트 IP 유지 동작 방식

• 활성화된 경우:
  타겟(EC2 인스턴스)은 요청이 클라이언트의 원본 IP 주소에서 온 것으로 인식합니다.
• 비활성화된 경우:
  타겟(EC2 인스턴스)은 요청이 NLB의 IP 주소에서 온 것으로 인식합니다.

기본 설정

• 활성화 기본값:
  • 타겟이 인스턴스 ID 또는 UDP/TCP_UDP 프로토콜을 사용하는 IP 주소일 때
• 비활성화 기본값:
  • 타겟이 TCP/TLS 프로토콜을 사용하는 IP 주소일 때

단, 타겟이 인스턴스 ID 또는 UDP/TCP_UDP 프로토콜을 사용하는 IP 주소일 경우, 클라이언트 IP 유지 기능을 비활성화할 수 없습니다.

---

2. NLB 보안 그룹 설정

NLB는 이제 **보안 그룹(Security Groups)**을 지원합니다.
이 설정은 트래픽 흐름을 보다 안전하게 관리할 수 있도록 도와줍니다.

보안 그룹 설정 방법

1. 클라이언트 → NLB 보안 그룹:
   클라이언트 트래픽은 NLB 보안 그룹 규칙을 통해 들어옵니다.
2. NLB → EC2 인스턴스 보안 그룹:
   NLB 보안 그룹에서 EC2 인스턴스의 보안 그룹으로 트래픽을 전달하도록 규칙을 설정합니다.

이와 같은 설정은 EC2 인스턴스가 프라이빗 서브넷에 있을 때 특히 유용하며, 애플리케이션 로드 밸런서(ALB)와 유사한 방식으로 구성됩니다.

---

3. 네트워크 ACL(NACL) 설정

NLB와 연결된 서브넷 및 타겟 서브넷에는 적절한 네트워크 ACL 설정이 필요합니다.

NACL 설정 가이드

1. NLB 서브넷 NACL
   • 인바운드 규칙:
     • 클라이언트 및 인터넷 트래픽 허용 (리스너 포트 기준)
     • VPC CIDR 범위에서 헬스 체크 트래픽 허용 (임시 포트 기준)
   • 아웃바운드 규칙:
     • 클라이언트 및 인터넷 응답 트래픽 허용
     • 헬스 체크 응답 트래픽 허용
2. 타겟 서브넷 NACL
   • 인바운드 규칙:
     • 클라이언트 IP 및 헬스 체크 트래픽 허용
   • 아웃바운드 규칙:
     • 클라이언트 응답 트래픽 허용 (클라이언트 IP 유지 활성화 시)

주의점

NACL 규칙은 클라이언트 IP 유지 여부에 따라 적절히 설정되어야 하며, 헬스 체크 트래픽이 차단되지 않도록 구성해야 합니다.

---

4. NLB 문제 해결(Troubleshooting)

주요 문제 및 원인

1. 타겟 상태가 "In Service"가 아님:
   • 헬스 체크 실패
   • 보안 그룹 규칙 누락
2. 요청이 타겟으로 라우팅되지 않음:
   • NACL 또는 보안 그룹 설정 문제
   • 가용 영역이 비활성화됨
3. 피어링된 VPC에서 문제 발생:
   • EC2 인스턴스를 IP 주소 기반으로 등록하지 않음

해결 방법

• 헬스 체크 프로토콜 및 포트를 확인
• NACL 및 보안 그룹 규칙을 다시 점검
• 피어링된 VPC에서는 타겟 등록 방식을 IP 주소 기반으로 변경

---

결론

NLB는 고성능과 유연한 보안 기능을 제공하는 AWS의 중요한 서비스입니다.
적절한 설정 및 문제 해결 방식을 이해한다면 클라우드 환경에서 안정적이고 안전한 트래픽 관리가 가능합니다.