ㅁ 풀어야 할 문제
인터넷에 게시하고 불특정 다수의 사용자가 액세스하는 서버(예를 들어, 웹 서버)는 관리 목적의 액세스도 같은 네트워크 인터페이스를 사용하는 경우가 많다. 그러나 높은 보안 레벨이 요구되는 경우, 신뢰할 수 있는 액세스와 그렇지 않은 액세스가 같은 네트워크 인터페이스를 사용하는 것은 피해야 하고 분리해야 하는 경우가 발생한다.
ㅁ 해결/패턴
웹 서버에 여러 개의 네트워크 인터페이스를 설치하고 관리용과 서비스용 네트워크 인터페이스를 나누는 것은 일반적으로 시스템 구축과 관리에서 자주 사용되는 방법이다.
이 관리용 네트워크 인터페이스를 설치하는 것을 [백넷] 이라고 하고, 이것을 준비하게 되면 관리상의 네트워크 리스크를 줄일 수 있다.
ㅁ 구현
VPN(가상 프라이빗 네트워크)에서는 EC2에 대해 두 개의 ENI(가상 네트워크 인터페이스)를 이용할 수 있다. 하나를 서비스용 네트워크 인터페이스로, 또 다른 하나를 관리용 네트워크 인터페이스로 설정한다.
- EC2 위에 웹 서버나 데이터베이스 서버를 설치하고 두 개(외부용과 내부용)의 ENI를 준비한다.
- ENI의 하나는 VPC의 퍼블릭 서브넷에 두고 0.0.0.0/0(모든 트래픽)을 서비스 인터넷 게이트웨이에 라우팅한다.
- ENI의 두 번째는 VPC의 프라이빗 서브넷에 두고 0.0.0.0/0(모든 트래픽)을 사내 인트라넷 등에 연결되는 VPN 게이트웨이에 라우팅한다. SSH 접속이나 관리, 로그 용도로도 사용한다.
다른 보안 그룹을 각 가상 네트워크 인터페이스에 적용할 수 있다. 한쪽의 가상 네트워크 인터페이스는 포트 80 트래픽을 허용하고, 다른 한쪽의 네트워크 인터페이스에는 포트 22트래픽을 허용하게 설정한다
ㅁ 장점
- SSH로 액세스할 수 있는 포트가 외부 인터넷용으로는 없기 때문에 높은 보안성을 가진다.
- 외부용과 내부용 가상 네트워크 인터페이스를 명확하게 나눌 수 있어서 작업 시 실수가 적어진다.
ㅁ 주의점
VPN 설정도 필요한 경우에는 운용 비용이 그만큼 높아진다.
'AWS Design Pattern > 네트워크 패턴' 카테고리의 다른 글
| Web Proxy 패턴 - 고가의 Web Application Firewall 의 효율적 활용 (0) | 2021.02.05 |
|---|---|
| Multi Load Balancer 패턴 - 복수 로드 밸런서 설치 (0) | 2021.02.05 |
| Operation Firewall 패턴 - 기능별 액세스 제한 (0) | 2021.02.05 |
| Functional Firewall 패턴 - 단계적 액세스 제한 (0) | 2021.02.05 |
| OnDemand NAT - 유지보수 시 인터넷 설정 변경 (0) | 2021.02.05 |
