다중 VPC 아키텍처에서 AWS 네트워크 방화벽 및 DNS 방화벽 보안 #reinvent #SEC302-R

안녕하세요, 임채정입니다.
지금 라스베가스에서는 11월 28일부터 12월 2일까지 re:invent를 진행했습니다.
해달 블로그는 「AWS Network Firewall and DNS Firewall security in multi-VPC architectures」 워크숍 세션을 진행한 내용의 블로그입니다.

아젠다

1. 세션 개요
2. AWS Network Firewall 란
3. DNS Firewall security 란
4. 위크숍 후기

0. 세션 개요

개요

This workshop guides participants through configuring AWS Network Firewall and Amazon Route 53 Resolver DNS Firewall in an AWS multi-VPC environment. It demonstrates how VPCs can be interconnected with a centralized AWS Network Firewall and DNS Firewall configuration to ease the governance requirements of network security. You must bring your laptop to participate.

발표자

Pratik Mankad, Sr Network Specialist Solutions Architect, AWS
Anandprasanna Gaitonde, Sr Solutions Architect, AWS

발표 난이도

300 - Advanced

1. AWS Network Firewall 란

AWS Network Firewall은 Amazon VPC에 필수적인 네트워크 보호 기능을 배포합니다.
네트워크 트래픽에 따라 자동으로 확장되는 관리형 서비스이므로 인프라 구축 및 관리에 대해 걱정할 필요가 없습니다.

특징

• 패킷 필터링
  • 넓은 범위의 IP 블록/허용 목록
  • 상태 비저장 규칙: IP | 포트 | 프로토콜
  • 상태 저장 규칙: IP | 포트 | 프로토콜
  • HTTP/HTTPS의 FQDN 필터링
  • 프로토콜 탐지, 시행
  • 응용 프로그램 규칙: IPS/IDS(공통 오픈 소스 규칙 형식)
• 가시성 및 보고
  • Amazon CloudWatch 룰 메트릭스
  • 전체적인 네트워크의 흐름 로그
  • 이벤트 및 규칙 기반 로그
  • Amazon Kinesis Data Firehost에 대한 로그 수집
  • 로그 수집
    • Amazon Simple Storage Service(Amazon S3)
    • Amazon CloudWatch
    • Amazon Kinesis Data Firehose
• 중앙 관리
  • AWS Firewall Manager를 사용한 교차 계정 관리 및 규칙 가시성
  • AWS Cloud Formation 및 Terraform 템플릿
  • AWS 리소스 액세스 관리자(AWS RAM)

구조

• 게이트웨이를 통해 VPC에 들어오고 나가는 모든 트래픽은 AWS 네트워크 방화벽을 통해 라우팅
• AWS Network Firewall 은 들어오는 모든 트래픽을 검사하고 필터링
• 서브넷은 VPC의 리소스에서 요청하고 IGW로 라우팅하기 전에 먼저 AWS 네트워크 방화벽을 통해 라우팅해야 함
• AWS 네트워크 방화벽 로그 게시
  • Amazon Simple Storage Service(Amazon S3)
  • Amazon CloudWatch
  • Amazon Kinesis Data Firehose

2. DNS Firewall security 란

DNS Firewall security를 사용하면 VPC에 대한 아웃바운드 DNS 트래픽을 필터링하고 제어할 수 있습니다.
이렇게 하려면 DNS 방화벽 규칙 그룹에 재사용 가능한 필터링 규칙 컬렉션을 생성하고 규칙 그룹을 VPC에 연결한 다음 DNS 방화벽 로그 및 지표 활동을 모니터링합니다.
활동에 따라 DNS 방화벽의 동작을 적절하게 조정할 수 있습니다.

특징

• DNS 필터링
  • 도메인 이름 기반 필터링
  • 트래픽 허용, 거부 목록 생성
  • 사용자 지정 Deny 작업: NXDOMAIN, OVERRIDE, 데이터 없음
  • 리시버 및 리시버 엔드포인트에서 필터링
• 룰 관리
  • AWS에서 관리하는 도메인 이름 기반 목록
  • Malware와 Botnet 명령 및 제어 대한 보호 기능
• 중앙 관리
  • AWS Firewall Manager를 사용한 교차 계정 관리
  • 정책의 일관된 시행 보장
  • 규칙 가시성 및 관리
• 가시성 및 보고
  • Amazon CloudWatch 메트릭스
  • 구성가능한 로그 전송
    • Amazon Simple Storage Service(Amazon S3)
    • Amazon CloudWatch
    • Amazon Kinesis Data Firehose (VPC 쿼리 로깅에 의해 사용)

3. 위크숍 후기

워크숍 세션은 먼저 이번 워크숍에서 사용할 서비스에 대한 설명을 한 다음에 각자 워크숍을 진행합니다.

진행하면서 의문점이 있으면 아마존 직원들이 돌아다니기 때문에 바로 물어볼 수 있습니다.
원래라면 절차서가 있어도 진행하면서 모르는 부분이 나오기 마련인데 이런 부분을 바로 해결 할 수 있어서 좋았습니다.
그리고 영어로 질문을 해야 되는 부분이 처음에 걱정이었는데 막상 하니까 괜찮았던 것같습니다.
한번에 이해 못할 때는 다시한번 설명해달라고 하면 더 자세하게 설명해줍니다.

워크숍 내용은 AWS Network Firewall 리소스의 확인과 DNS 필터링 기능의 사용 등을 진행했습니다.
한가지 아쉬웠던 점은 리소스 작성 자체는 되어 있는 상태에서 각각의 기능 등을 사용해보고 확인하는 방식이었는데 리소스 작성부터 했으면 좋았을 것같다는 생각은 들었습니다.

워크숍에서 진행한 내용에 대해서는 따로 사이트에도 확인할 수 있기 때문에 만약에 워크숍을 직접 해보고 싶다면 아래 url를 통해 할 수 있습니다.