클라우드 VPC 보안이란?
Virtual Private Cloud(VPC)는 퍼블릭 클라우드 내 격리된 가상 네트워크 환경입니다. 네트워크관리사 시험에서는 AWS VPC의 보안 계층과 다중 계정 네트워크 설계를 중점적으로 다룹니다.
VPC 핵심 구성
서브넷과 라우팅
- 퍼블릭 서브넷: 인터넷 게이트웨이(IGW) 라우팅 경로. 인바운드 인터넷 접근 가능
- 프라이빗 서브넷: IGW 경로 없음. NAT 게이트웨이를 통해 아웃바운드만 가능
- 격리 서브넷: 인터넷 연결 없음. DB·백엔드 레이어. VPC 엔드포인트로 AWS 서비스 접근
- 라우팅 테이블: 서브넷별 독립 라우팅 테이블. 경로 우선순위: 더 구체적 CIDR 우선
보안 계층
- 보안 그룹(Security Group): 인스턴스 레벨 가상 방화벽. 상태 저장(Stateful). 허용 규칙만 설정. 기본: 모든 아웃바운드 허용, 인바운드 거부
- NACL(Network ACL): 서브넷 레벨 방화벽. 상태 비저장(Stateless). 허용·거부 규칙. 번호 순서 처리. 에페메랄 포트 고려 필요
- SG vs NACL: SG는 인스턴스 레벨·Stateful, NACL은 서브넷 레벨·Stateless — 시험 단골
- WAF: ALB·CloudFront 앞 L7 방화벽. OWASP 규칙·IP 차단·Rate Limiting
VPC 연결 옵션
VPC 피어링
- 개념: 두 VPC 간 직접 트래픽 교환. CIDR 중복 불가. 전이적 피어링 없음
- 라우팅 설정: 양쪽 VPC 라우팅 테이블에 상대 CIDR 경로 추가 필요
- 교차 계정·교차 리전: 지원 가능. 리전 간 피어링 트래픽은 암호화
Transit Gateway(TGW)
- 개념: 허브 앤 스포크 모델로 다수 VPC·온프레미스 연결. 메쉬 피어링 대신 중앙 허브
- 라우팅 도메인: TGW 라우팅 테이블. 연결(Attachment)별 다른 라우팅 테이블 적용 가능
- 멀티캐스트: TGW 멀티캐스트 도메인 지원. 미디어 스트리밍·금융 시세 배포
- TGW vs VPC 피어링: TGW는 관리 단순화·비용 증가, 피어링은 저지연·저비용이지만 관리 복잡
VPC 엔드포인트
- 게이트웨이 엔드포인트: S3·DynamoDB. 라우팅 테이블 수정으로 VPC 내 프라이빗 접근. 무료
- 인터페이스 엔드포인트(PrivateLink): ENI(탄력적 네트워크 인터페이스)로 AWS 서비스 프라이빗 접근. 시간당 비용
- GatewayLB 엔드포인트: 써드파티 가상 어플라이언스(방화벽·IPS) 트래픽 검사
네트워크 보안 모니터링
- VPC Flow Logs: ENI 레벨 트래픽 메타데이터. srcIP·dstIP·포트·프로토콜·허용·거부. S3·CloudWatch Logs로 전송
- AWS Network Firewall: 관리형 상태 저장 방화벽. Suricata 기반 IPS. 도메인 차단
- GuardDuty: VPC Flow Logs·DNS·CloudTrail 분석. 위협 인텔리전스 기반 이상 탐지
- Reachability Analyzer: 두 리소스 간 네트워크 경로 검증. 보안 그룹·NACL·라우팅 로직 추적
시험 핵심 포인트
- SG Stateful vs NACL Stateless: SG는 응답 트래픽 자동 허용. NACL은 인바운드·아웃바운드 모두 규칙 필요
- TGW 전이적 라우팅: A→TGW→B 가능. VPC 피어링은 전이적 라우팅 불가
- VPC 엔드포인트: 인터넷 없이 AWS 서비스 접근. 게이트웨이(S3·DynamoDB)는 무료
- VPC Flow Logs: ACCEPT/REJECT 로그. 실제 패킷 내용은 캡처 안 됨
마무리
클라우드 VPC 보안은 다층 방어(Defense in Depth)의 원칙을 클라우드에 적용합니다. 보안 그룹·NACL·WAF·Network Firewall을 레이어별로 적절히 조합해 심층 방어를 구현해야 합니다.