AWS EC2 웹 호스팅의 방화벽 및 보안 설정 가이드

AWS EC2에서 웹 호스팅을 운영할 때는 안전한 환경을 구축하기 위한 다양한 보안 설정이 필요합니다. 아래는 주요 방화벽 및 보안 설정 방법들을 상세히 설명합니다.

1. 보안 그룹 (Security Groups)

• 개요: EC2 인스턴스에 대한 네트워크 액세스를 제어하는 가상 방화벽입니다. 특정 포트와 IP 주소에 대한 inbound 및 outbound 규칙을 설정할 수 있습니다.
• 설정 방법:
  • EC2 관리 콘솔에서 인스턴스를 생성하거나 기존 인스턴스의 네트워킹 탭에서 보안 그룹을 관리합니다.
  • HTTP(포트 80), HTTPS(포트 443), SSH(포트 22) 등 필요한 포트를 열고, 허용할 IP 주소 범위를 지정합니다.
  • 특정 보안 그룹에 속한 인스턴스끼리만 통신하도록 제한할 수 있습니다.

2. 네트워크 액세스 제어 목록 (NACLs)

• 개요: 서브넷 수준에서 네트워크 트래픽을 필터링하는 방화벽입니다. 보안 그룹보다 더 세밀한 제어가 가능합니다.
• 설정 방법:
  • VPC 관리 콘솔에서 NACL을 생성하고, inbound 및 outbound 규칙을 설정합니다.
  • 보안 그룹과 함께 사용하여 다중 계층 보안을 구축할 수 있습니다.

3. AWS WAF (Web Application Firewall)

• 개요: 웹 애플리케이션을 보호하기 위한 관리형 WAF 서비스입니다. SQL 인젝션, XSS, DDoS 공격 등 다양한 웹 공격으로부터 보호합니다.
• 설정 방법:
  • AWS WAF 콘솔에서 웹 애플리케이션과 연동하고, 웹 ACL (Web Access Control List)을 생성하여 규칙을 설정합니다.
  • 사전 정의된 규칙 세트나 커스텀 규칙을 사용하여 웹 애플리케이션에 맞는 보호 정책을 구축할 수 있습니다.

4. IAM (Identity and Access Management)

• 개요: AWS 리소스에 대한 액세스를 관리하는 서비스입니다. 사용자, 그룹, 역할에 대한 정책을 설정하여 권한을 부여하거나 제한할 수 있습니다.
• 설정 방법:
  • IAM 콘솔에서 사용자, 그룹, 역할을 생성하고, 각각에 대한 정책을 연결합니다.
  • 최소 권한의 원칙을 적용하여 보안을 강화합니다.

5. EC2 인스턴스 하드닝

• 개요: 운영체제 및 애플리케이션 레벨에서 보안을 강화하는 작업입니다.
• 설정 방법:
  • 최신 OS 패치 적용
  • 불필요한 서비스 비활성화
  • 강력한 암호 정책 설정
  • 파일 시스템 권한 설정
  • 침입 탐지 시스템 설치

6. 추가적인 보안 고려 사항

• 키 관리: SSH 키, 암호화 키 등을 안전하게 관리합니다.
• 로그 모니터링: CloudWatch Logs를 사용하여 시스템 로그를 모니터링하고 이상 징후를 감지합니다.
• 백업: 정기적으로 데이터를 백업하여 데이터 손실에 대비합니다.
• 패치 관리: OS 및 애플리케이션에 대한 패치를 지속적으로 적용합니다.
• 침입 탐지 및 예방 시스템 (IDS/IPS): AWS GuardDuty, Amazon Inspector 등을 활용하여 침입을 탐지하고 예방합니다.

AWS ELB(Elastic Load Balancing)에 대한 설명과 예시 사용 방법

ELB란 무엇인가요?

AWS ELB(Elastic Load Balancing)는 들어오는 애플리케이션 트래픽을 여러 대상(예: EC2 인스턴스)에 자동으로 분산시켜주는 서비스입니다. 이를 통해 웹 애플리케이션의 성능을 향상시키고 가용성을 높일 수 있습니다.

ELB의 역할

• 부하 분산: 들어오는 트래픽을 여러 서버에 분산하여 특정 서버에 부하가 집중되는 것을 방지합니다.
• 고가용성: 서버 장애 발생 시 다른 서버로 트래픽을 자동 전환하여 서비스 중단을 최소화합니다.
• 자동 확장/축소: 트래픽 변동에 따라 서버를 자동으로 추가하거나 제거하여 비용 효율성을 높입니다.

ELB의 종류

AWS는 크게 세 가지 종류의 ELB를 제공합니다.

• Classic Load Balancer: 가장 오래된 유형으로, HTTP, HTTPS, TCP, SSL 프로토콜을 지원합니다. 간단한 설정이 필요하며, 주로 기존 애플리케이션에 사용됩니다.
• Application Load Balancer: HTTP 및 HTTPS 프로토콜에 최적화되어 있으며, 쿠키 기반 세션 스티킹, URL 기반 라우팅 등 다양한 기능을 제공합니다.
• Network Load Balancer: TCP, UDP 프로토콜을 지원하며, 낮은 지연 시간과 고성능이 필요한 애플리케이션에 적합합니다.

ELB 사용 예시

• 웹 애플리케이션: 웹 서버 여러 대를 ELB 뒤에 배치하여 웹 트래픽을 분산하고, 장애 발생 시 서비스 중단을 방지합니다.
• 게임 서버: 게임 서버를 ELB 뒤에 배치하여 많은 사용자가 동시에 접속하더라도 원활한 게임 플레이를 제공합니다.
• 데이터베이스: 데이터베이스 복제본을 ELB 뒤에 배치하여 읽기 트래픽을 분산하고, 데이터베이스 서버의 부하를 줄입니다.

ELB 사용 방법

1. 로드 밸런서 생성: AWS 관리 콘솔에서 로드 밸런서 유형을 선택하고, VPC, 서브넷, 보안 그룹 등을 설정합니다.
2. 대상 그룹 생성: 로드 밸러서가 트래픽을 분산할 EC2 인스턴스를 포함하는 대상 그룹을 생성합니다.
3. 리스너 생성: 로드 밸런서에서 어떤 프로토콜과 포트를 통해 트래픽을 수신할지 설정합니다.
4. 타겟 그룹 연결: 리스너를 생성한 후 대상 그룹과 연결합니다.

ELB의 장점

• 간편한 설정: AWS 관리 콘솔을 통해 쉽게 설정하고 관리할 수 있습니다.
• 높은 가용성: 다중 가용 영역에 배포되어 장애 발생 시에도 서비스를 유지할 수 있습니다.
• 자동 확장/축소: 트래픽 변동에 따라 자동으로 서버를 추가하거나 제거합니다.
• 다양한 기능: 쿠키 기반 세션 스티킹, URL 기반 라우팅 등 다양한 기능을 제공합니다.

AWS ELB 생성 및 대상 그룹 연결 상세 가이드

1. AWS 관리 콘솔 접속

AWS 관리 콘솔에 로그인합니다.

2. 로드 밸런서 서비스 접속

• 탐색 창에서 로드 밸런싱 서비스를 찾아 선택합니다.

3. 로드 밸런서 생성

• 로드 밸런서 생성 버튼을 클릭합니다.
• 로드 밸런서 유형을 선택합니다. (Classic, Application, Network 중 선택)
  • Classic Load Balancer: 간단한 설정, HTTP, HTTPS, TCP, SSL 지원
  • Application Load Balancer: HTTP, HTTPS 최적화, 쿠키 기반 세션 스티킹 등 다양한 기능 제공
  • Network Load Balancer: TCP, UDP 지원, 낮은 지연 시간, 고성능
• 로드 밸런서 이름: 고유한 이름을 지정합니다.
• VPC: 로드 밸런서가 속할 VPC를 선택합니다.
• 보안 그룹: 로드 밸런서에 대한 인바운드/아웃바운드 트래픽을 제어할 보안 그룹을 선택합니다.
• 스킴: 인터넷 또는 내부 사용 여부를 선택합니다.
• 가용 영역: 로드 밸런서를 배포할 가용 영역을 선택합니다.

4. 리스너 생성

• 생성된 로드 밸런서에서 리스너 탭을 선택합니다.
• 리스너 생성 버튼을 클릭합니다.
• 프로토콜과 포트: 리스너가 수신할 프로토콜(HTTP, HTTPS 등)과 포트를 설정합니다.
• 대상 그룹: 앞서 생성하거나 생성할 대상 그룹을 선택합니다.

5. 대상 그룹 생성 (만약 생성하지 않았다면)

• 탐색 창에서 로드 밸런싱 서비스를 선택합니다.
• 대상 그룹 탭을 선택합니다.
• 대상 그룹 생성 버튼을 클릭합니다.
• 대상 유형: 인스턴스, IP 주소 등을 선택합니다. 일반적으로 인스턴스를 선택합니다.
• 대상 그룹 이름: 고유한 이름을 지정합니다.
• 포트: 대상 인스턴스에서 수신할 포트를 설정합니다.
• 프로토콜: 대상 인스턴스에서 사용할 프로토콜을 설정합니다.

6. 대상 등록

• 생성된 대상 그룹에서 대상 탭을 선택합니다.
• 대상 추가 버튼을 클릭합니다.
• ID: 대상 인스턴스의 인스턴스 ID를 입력합니다.
• 포트: 대상 인스턴스에서 수신할 포트를 설정합니다.

7. 건강 검사 구성 (선택 사항)

• 리스너 또는 대상 그룹에서 건강 검사를 구성하여 인스턴스 상태를 확인하고 트래픽을 전환할 수 있습니다.

8. DNS 레코드 설정

• 생성된 로드 밸런서의 DNS 이름을 이용하여 도메인을 설정합니다.

예시: 웹 서버를 위한 ELB 설정

1. Application Load Balancer 생성
2. HTTP 리스너 생성 (포트 80)
3. 대상 그룹 생성 (인스턴스 유형, 포트 80)
4. 웹 서버 인스턴스를 대상 그룹에 등록
5. DNS 레코드를 로드 밸런서의 DNS 이름으로 설정

주의사항:

• 보안 그룹: 로드 밸런서와 인스턴스 간의 통신을 허용하도록 보안 그룹을 설정해야 합니다.
• 가용 영역: 장애 발생 시 가용성을 높이기 위해 여러 가용 영역에 인스턴스를 분산하는 것이 좋습니다.
• 건강 검사: 인스턴스 상태를 주기적으로 확인하여 장애 발생 시 트래픽을 다른 인스턴스로 전환해야 합니다.
• 자동 확장: 트래픽 변동에 따라 자동으로 인스턴스를 추가하거나 제거할 수 있는 Auto Scaling과 연동할 수 있습니다.

AWS ELB에 WAF 연동하는 방법

AWS ELB에 WAF를 연동하면 웹 애플리케이션을 SQL 인젝션, XSS 등 다양한 웹 공격으로부터 보호할 수 있습니다.

WAF와 ELB 연동 과정

1. WAF 웹 ACL 생성:
   • AWS WAF 콘솔에서 새로운 웹 ACL을 생성합니다.
   • 필요한 규칙을 추가합니다. (예: SQL 인젝션 방지, XSS 방지 등)
   • 관리 규칙을 추가하여 로그 기록 등을 설정할 수 있습니다.
2. ALB와 WAF 연동:
   • 생성한 웹 ACL을 ALB에 연결합니다.
   • ALB 리스너를 수정하여 웹 ACL ID를 지정합니다.

단계별 상세 설명

1단계: WAF 웹 ACL 생성

• AWS WAF 콘솔 접속
• 웹 ACL 탭 선택
• 웹 ACL 생성 버튼 클릭
• 웹 ACL 이름 지정
• 규칙 추가:
  • 코어 규칙: AWS에서 제공하는 사전 정의된 규칙 세트를 선택하거나,
  • 커스텀 규칙: 자신만의 규칙을 생성합니다.
  • 웹 ACL 로그: CloudWatch Logs에 로그를 기록하도록 설정합니다.

2단계: ALB와 WAF 연동

• 로드 밸런싱 서비스 접속
• 로드 밸런서 선택
• 리스너 탭 선택
• 수정 버튼 클릭
• 웹 ACL ID 입력: 앞서 생성한 웹 ACL의 ID를 입력합니다.

예시: Application Load Balancer (ALB)에 WAF 연동

1. ALB 생성 및 리스너 설정
2. WAF 웹 ACL 생성 (SQL 인젝션, XSS 방지 규칙 추가)
3. ALB 리스너 수정: 웹 ACL ID 지정
4. 테스트: 웹 애플리케이션에 접속하여 WAF 동작 확인

주의사항

• WAF 규칙: 너무 엄격한 규칙은 정상적인 트래픽까지 차단할 수 있으므로 주의해야 합니다.
• 성능: WAF는 트래픽 처리량에 영향을 줄 수 있습니다. 대규모 트래픽 환경에서는 성능 테스트가 필요할 수 있습니다.
• 지속적인 관리: 새로운 공격 기법이 등장함에 따라 WAF 규칙을 주기적으로 업데이트해야 합니다.

추가 고려 사항

• AWS WAFv2: 더욱 강력하고 유연한 기능을 제공하는 WAFv2를 사용할 수 있습니다.
• AWS Firewall Manager: 다수의 AWS 계정에서 WAF 규칙을 중앙에서 관리할 수 있습니다.
• Customizations: WAF를 커스터마이징하여 특정 애플리케이션에 최적화된 보안 정책을 적용할 수 있습니다.

AWS 공식 문서:

• AWS WAF를 통한 Application Load Balancer 보호하기: https://aws.amazon.com/ko/blogs/korea/aws-web-application-firewall-waf-for-application-load-balancers/

AWS Web Application Firewall을 통한 Application Load Balancer 보호하기 | Amazon Web Services