방화벽 (Security Group)
- 가상 사설 클라우드내에서 허용된 IP와 포트만 통과시키는 보안 서비스
- OSI 7 Layer 중에서 3계층(네트워크 계층)과 4계층(전송 계층) 수준의 필터링을 수행
기본적으로 클라우드 자원을 생성하기 전에 클라우드 자원의 보호막을 구성하기 위해 방화벽부터 생성
- 물론, 클라우드 자원을 생성하면서 자동으로 방화벽이 만들어지기는 하지만, 다수의 수천-수만 개의 자원을 생성하면서 자동으로 방화벽이 동시에 만들어진다.
- 하지만, 수천 ~ 수만 개의 자원 관리를 위해서는 방화벽 구성에 대한 설계도 자원에 대한 설계도 사전에 고려(ex. 클라우드 자원 단위, 클라우드 자원의 그룹 설정)
방화벽 설정
방화벽은 인바운드 규칙과 아웃바운드 규칙으로 허용하는 IP와 포트를 설정
- 인바운드 : 외부에서 내부로 들어오는
- 아웃바운드 : 내부에서 외부로 나가는
+) 방화벽은 Stateful 속성을 가진다.(트래픽의 상태 정보를 저장함)
따라서, 인바운드 규칙과 반대되는 아웃 바운드 규칙을 대칭해서 구성할 필요가 없음
(ex. 인바운드 규칙의 모든 IP에서 443로 들어온다고 설정하면, 443 포트로 들어온 패킷은 인바운드 규칙에 따라서 응답결과 리턴 가능 → 리턴을 위해서 아웃바운드에 443포트를 다시 입력할 필요 없음)
방화벽 설정 주의점
- 소스 IP, 목적지 IP, 포트는 사용하는 정보만으로 설정
- CIDR(Classless Inter-Domain Routing)의 범위는 최소한으로 설정
- Any IP, Any Port, Any Protocol로 설정은 최소화하고 적절한지 정기적으로 확인
1) 방화벽 세분화 구성
방화벽은 가장 기본적인 보안 서비스
- IP와 포트를 기준으로 허용된 트래픽만 접근 가능
- 방화벽도 서브넷과 유사하게 원하는 자원을 선택해서 그룹핑하여 설정 가능 → 이를 통해 방화벽 세분화하여 구성 가능
2) 방화벽 범위 최소화
애플리케이션이 수행되는 자원들은 최소한의 보안 위협 대응을 위해 방화벽을 필수로 적용
- 업무 서비스를 제공하려면, 구체적이고 정확한 방화벽의 범위 설정은 사전에 서비스 간 인터페이스 요소들이 모두 파악되어야 함
- 전체 IP 대역(0.0.0.0/0)과 모든 포트로 설정된 상태처럼 개방된 대역과 포트가 넓으면 넓을수록 보안 위협이 발생할 수 있는 영역이 커짐
- 따라서, 실제 서비스한 최소한의 IP와 포트로 설정하여 불필요한 개방 범위를 제거하여 보안성을 향상시켜야 함
정리 : 방화벽을 구체적으로 구성하고 IP와 포트의 적용 범위를 최소한으로 설정해야 함
황치하, 양지언, 『클라우드X보안 실무 가이드』 (부천:프리렉, 2020)
책의 내용을 공부하고 정리한 글입니다.
'개발 > 클라우드' 카테고리의 다른 글
| 클라우드 보안 - 대표적 보안 기술 : end-to-end 보안 (0) | 2023.07.24 |
|---|---|
| 클라우드 보안 - 대표적 보안 기술 : Container (0) | 2023.07.24 |
| 클라우드 보안 - 취약성 : 공유 특징으로 인한 취약점 (0) | 2023.07.19 |
| 클라우드 보안 - 취약성 : DoS 공격 (0) | 2023.07.19 |
| 클라우드 보안 - 취약성 : 클라우드 서비스 자원 남용 (0) | 2023.07.19 |
