본문 바로가기

AWS Design Pattern/네트워크 패턴

Operation Firewall 패턴 - 기능별 액세스 제한

ㅁ  풀어야 할 문제

대규모 시스템이 되면 개발 보수 조직이 많이 존재한다. 예를 들어, 시스템 개발을 하는 회사, 로그 분석이나 운용 감시를 하는 회사 등으로 나뉘는 경우가 이에 속한다.

방화벽 룰을 기능별 그룹으로 정의한 경우, 액세스 대상이 변경되거나 액세스 자체를 제한하려고 할 때는 그때 그때 기능별로 그룹화된 룰을 변경해야 한다. 설정에 시간도 많이 걸리고 각각의 조직이 어느 서버에 액세스 할 수 있는지를 일원적으로 관리할 수 없다.

 

ㅁ  해결/패턴

기존 장비는 전용 장비를 이용하고 룰도 기능별로 정리하여 적용(관리)하는 경우가 많았다. 클라우드에서는 방화벽은 가상화 되어 있어 보다 유연하게 설정할 수 있다.

룰을 그룹화하고 그룹 단위로 설정하거나 서버에 적용할 수 있다. 이 그룹이라는 단위를 조직으로 하게 되면 조직에 대한 설정을 통합 관리할 수 있다.

 

ㅁ  구현

보안 그룹은 여러 개로 만들 수 있어 조직 별로 만들어 조직 별로 룰을 통합 관리한다. VPC(가상 프라이빗 클라우드)의 경우는 동작 중이 EC2에 대해서도 가상 방화벽을 적용하고 해제할 수 있어서 필요에 따라 설정할 수 있다.

-       개발 회사나 운영 회사 등 조직 별로 보안 그룹을 만든다.

-       각 보안 그룹에 그룹(조직)에 따른 설정을 한다. (엑세스 장소 및 액세스 포트 등)

-       보안 그룹을 EC2에 적용한다.

 

ㅁ  장점

-       액세스하는 조직 별로 액세스 정보를 통합 관리할 수 있다.

-       액세스 제한을 변경할 때 설정 작업 실수를 줄일 수 잇다.

-       Functional Firewall 패턴과 같이 사용할 수 있다.

 

ㅁ  주의점

-       가상 방화벽은 일반적으로 사용자 식별 기능이 없다. 따라서 접속 장소 IP 어드레스를 이용한 제한이 주된 기능이기 때문에 사용자 별 제한은 OS나 애플리케이션 계층에서 구현해야 한다.