[Security] AWS Network Firewall 이란?

AWS Network Firewall은 AWS에서 제공하는 관리형 방화벽 서비스로 네트워크 트래픽을 모니터링하고 제어하는데 사용됩니다.

VPC 경계에서 트래픽을 필터링 할 수 있으며, 인터넷 게이트웨이, NAT 게이트웨이 또는 VPN이나 AWS Direct Connect를 통해 들어오고 나가는 트래픽 필터링이 포함됩니다.

네트워크 방화벽은 상태 저장 검사를 위해 오픈 소스 침입 방지 시스템(IPS)인 Suricata를 사용합니다.

위의 그림은 Network Firewall를 나타낸 간단한 아키텍처 입니다.

1. 인터넷 게이트웨이의 라우팅 테이블을 살펴보면 인터넷 게이트웨이를 통해 VPC 내부로 들어오는 트래픽은 모두 Firewall Endpoint를 통해 VPC 내부로 들어갑니다.

2. Firewall의 라우팅 테이블을 살펴보면 0.0.0.0/0 인터넷 게이트웨이로 VPC 대역대는 local로 통합니다.

3. Nat Gateway의 라우팅 테이블을 살펴보면 VPC 대역대는 local로 내부에서 외부로 나가는 0.0.0.0/0은 Network Firewall의 Endpoint로 향합니다.

4. EC2 라우팅 테이블을 살펴보면 VPC 대역대는 local로 0.0.0.0/0은 Nat Gateway로 향합니다.

결국 VPC 내 외부로 향하는 트래픽은 모두 Network Firewall을 거치게 됩니다.

1. Stateful Inspection(상태 기반 검사)

- Network Firewall은 패킷의 상태를 추적하고 상태 기반의 패킷 검사를 제공합니다. 이를 통해 유효한 연결을 추적하고 악성 트래픽을 차단할 수 있습니다.

2. Rule Groups(규칙 그룹)

- 사용자는 Network Firewall을 구성하기 위해 여러 규칙 그룹을 생성할 수 있습니다. 규칙 그룹은 사용자 정의 및 AWS 제공 규칙을 모두 포함할 수 있으며, 특정 어플리케이션 또는 서비스에 대한 정책을 정의하는데 사용됩니다.

3. Deep Packet Inspection(심층적인 패킷 검사)

- 패킷의 내부를 심층적으로 검사하여 악성 행위나 위협을 탐지합니다. 이를 통해 고급 보안 수준을 제공하며, 특히 고급 위협에 대한 감지에 용이합니다.

4. Logging and Monitoring(로그 및 모니터링)

- CloudWatch 및 CloudTrail과 통합하여 Network Firewall의 활동을 모니터링하고 로깅할 수 있습니다. 이를 통해 보안 사건을 신속하게 감지하고 대응할 수 있습니다.

5. VPC 연동 및 확장성

- Network Firewall은 VPC와 쉽게 통합되며, 여러 VPC에 걸쳐 방화벽을 관리할 수 있습니다. 또한, 여러 가용 영역 및 리전에 걸쳐 확장 가능한 아키텍처를 제공합니다.

참고

[GuardDuty] AWS GuardDuty 소개 및 구성 (0)	2022.01.13

Infra&DevOps&Security