블로그 릴레이 - VPC Public Block Access 기능 사용해보기

퍼블릭 트래픽의 ingress/egress 를 차단하는 VPC Public Block Access라는 기능이 새롭게 업데이트 되었습니다. VPC Public Block Access가 어떤 기능을 하며 어떻게 설정할 수 있는지 알아보도록 하겠습니다.

#한국어블로그

#Amazon VPC

NuNu

2024.11.25

안녕하세요. AWS 사업본부의 서은우입니다.
본 블로그는 당사의 한국어 블로그 릴레이의 23번째 블로그입니다.
이번 블로그의 주제는 「VPC Public Block Access 기능 사용해보기」 입니다.
 개요Amazon VPC 블록 공개 액세스는 AWS에서 제공하는 인터넷 경로를 통해 들어오는(입) 및 나가는(출입) VPC 트래픽을 권한으로 차단하는 간단하고 선언적인 제어입니다. Amazon VPC 블록 공개 액세스를 통해 고객은 AWS에서 제공하는 인터넷 액세스를 중앙에서 차단하여 조직의 보안 및 규정 준수 요구 사항을 준수할 수 있습니다.

원문: Amazon VPC Block Public Access is a simple, declarative control that authoritatively blocks incoming (ingress) and outgoing (egress) VPC traffic through AWS provided internet paths. Amazon VPC Block Public Access enables customers to ensure compliance with their organization’s security and compliance requirements by centrally blocking AWS provided internet access to resources in your VPCs.
출처: https://aws.amazon.com/jp/blogs/networking-and-content-delivery/vpc-block-public-access/
VPC Public Block Access는 인터넷에(퍼블릭) 대한 엑세스를 제어할 수 있는 기능으로, 해당 기능을 사용하여 인터넷에 대한 ingress 및 egress 통신을 차단할 수 있습니다.
VPC Public Block Access에 대해서는 아래와 같은 특이 사항이 있습니다.
Public Block Access는 리전 단위로 설정할 수 있습니다.
제외 사항을 설정하여 퍼블릭 엑세스 Public Block Access 기능의 영향을 받지 않을 VPC, 서브넷을 설정할 수 있습니다.(최대 50개까지 제외 가능)
AWS Client VPN, Site-to-Site VPN의 트래픽은 Public Block Access의 차단 대상에서 제외 됩니다.
ELB 및 AWS Global Accelerator 등 다른 서비스와 통합됩니다.
그렇다면 직접 Public Block Access 기능을 설정하고 확인해보도록 하겠습니다.
 설정해보기 Public Block Access 활성화 Public Block Access 설정 확인
VPC 콘솔 화면에서 각 VPC 의 설정을 확인해보겠습니다. 현재는 Public Block Access 기능이 꺼져있는 상태임을 알 수 있습니다.
 설정을 활성화Public Block Access는 VPC 콘솔의 네비게이션의 「설정」 페이지에서 설정할 수 있습니다.
「퍼블릭 액세스 설정 편집」 버튼을 눌러 설정 페이지로 이동합니다.
설정 화면에서는 활성화/비활성화를 설정할 수 있습니다.
또한, 양방향 차단/ingress 차단과 같이 차단할 인터넷 게이트 웨이의 통신 방향에 대해서도 설정할 수 있습니다.
VPC Public Block Access 기능이 활성화되기 까지 수 분의 시간이 걸렸습니다.
 EC2에서 확인
Public Subnet에서 생성된 EC2에 SSH 접속을 시도하여 보았지만 time out 에러가 발생하며 엑세스 할 수 없었습니다.
마찬가지로 SSM을 통한 접속도 할 수 없다는 것을 알 수 있었습니다.
 제외 사항 설정 제외 사항 생성하기Public Block Access은 리전 전체의 VPC와 서브넷에 영향을 미치기때문에,

제외 사항을 생성하여 Public Block Access 기능의 영향에서 제외시킬 대상 VPC, 서브넷을 설정할 수 있습니다.
Public Block Access 를 활성화 할 때와 마찬가지로 설정 페이지로 이동하여 제외 사항을 생성할 수 있습니다.
제외 사항을 생성할 때, 대상 리소스와 트래픽을 허용할 방향에 대해 설정할 수 있습니다.(트래픽 차단에서 제외할 대상이기 때문에 퍼블릭 트래픽을 "허용"할 대상에 대한 설정이 됩니다.)
 EC2에서 확인(제외 대상으로 설정)
퍼블릭 트래픽 차단 대상에서 제외된 VPC의 Public Subnet에 생성된 EC2에 SSH 접속이 가능함을 확인할 수 있었습니다.
마찬가지로 SSM을 통한 접속도 가능했습니다.
 EC2에서 확인(제외 대상 미설정)
제외 대상을 삭제하고 다시 접속을 시도해 보니 SSH 접속과 SSM 접속이 되지 않는 것을 확인할 수 있었습니다.
 끝으로VPC Public Block Access 기능은 의도치 않게 퍼블릭 통신을 개방하거나 등의 실수 등을 방지할 수 있을 것입니다.

또한, Public Block Access의 영향에서 제외할 수 있는 대상을 설정할 수 있기 때문에 매우 유용한 기능이라고 생각합니다.
다음 스물네 번째 블로그 릴레이는 12월 첫 번째 주에 공개됩니다.
끝까지 읽어주셔서 감사합니다! 이상, AWS 사업본부의 서은우였습니다.