AWS Firewall Manager 업데이트 – VPC 보안 그룹 지원 (서울 리전 포함)

저는 작년에 AWS Firewall Manager를 소개해 드리고 이를 사용하여 중앙 집중식으로 AWS WAF 규칙 및 AWS Shield 고급 보호 기능을 구성 및 관리하는 방법을 보여 드린 바 있습니다.

AWS Firewall Manager는 AWS Organizations를 사용하며 사용자가 정책을 구축하고 이를 여러 AWS 계정에 걸쳐 일관적인 방식으로 적용할 수 있게 해 줍니다.

VPC 보안 그룹 지원 출시

오늘 AWS에서는 AWS Firewall Manager를 한층 더 유용하게 만들어 사용자가 조직 전반에 걸친 정책을 VPC 보안 그룹에 사용하기 위해 정의, 관리 및 감사할 수 있는 기능을 제공합니다.

정책을 사용하면 보안 그룹을 특정 계정 및 리소스에 적용하고, 보안 그룹에 사용되는 규칙을 확인 및 관리하고, 사용되지 않거나 불필요한 보안 그룹을 찾아 제거할 수 있습니다. 잘못 구성된 규칙이 탐지되었을 때 사용자는 실시간 알림을 받게 되며 Firewall Manager 콘솔 내에서 수정 조치를 수행할 수 있습니다.

이 기능을 활용하려면 AWS Organization이 있어야 하며 해당 조직 내의 모든 계정에 대해 AWS Config이 활성화되어 있어야 합니다. 또한 AWS 계정 중 하나를 Firewall 관리자로 지정해야 합니다. 이 계정은 조직 전반에 걸쳐 AWS WAF 규칙, Shield Advanced 보호 기능 및 보안 그룹 규칙을 배포할 수 있는 권한을 가집니다.

보안 정책 생성 및 사용해 보기

조직의 루트 계정에 로그인한 후 Firewall Manager 콘솔을 열고 [Go to AWS Firewall Manager]를 클릭합니다.

그런 다음 [AWS FMS] 섹션의 [Security Policies]를 클릭하여 시작합니다. 기존 정책이 있는 경우 콘솔에 표시됩니다. 계속 진행하려면 [Create policy]를 클릭합니다.

[Policy type]에 [Security group]을 선택하고 [Security group policy type]에 [Common security groups]를 선택한 다음 대상 지역을 선택하고 [Next]를 클릭하여 계속 진행합니다(다른 정책 유형은 잠시 후에 검토하겠습니다).

정책에 이름(OrgDefault)을 지정하고 보안 그룹(SSH_Only)을 선택하고 그룹의 규칙을 임의의 변경으로 보호하는 옵션을 선택한 후 [Next]를 클릭합니다.

이제 정책의 범위를 정의합니다. 여기서 볼 수 있듯이, [Next]를 클릭하기 전에 계정, 리소스 유형, 그리고 특정 태그가 지정된 리소스까지 선택할 수 있습니다.

특정 방식으로 태그가 지정된 리소스를 제외하도록 선택할 수도 있습니다. 이는 제한된 그룹의 리소스에 대해 특별 권한을 제공하는 정책을 조직 전반에 걸쳐 생성하는 데 사용될 수 있습니다.

정책을 검토하고 Config를 활성화해야 하며 관련 요금을 지불할 것임에 동의한 다음 [Create policy]를 클릭합니다.

정책은 즉시 적용되며 3~5분 내에 규정 준수 여부를 평가하기 시작합니다. [Firewall Manager Policies] 페이지에는 개요가 표시됩니다.

정책을 클릭하면 더 자세한 내용을 볼 수 있습니다.

정책에는 자동 문제 해결 옵션도 있습니다. 정책을 생성할 때 이 옵션을 활성화할 수도 있지만, 자동 문제 해결을 적용했을 때 어떤 결과가 도출되는지 볼 수 있도록 정책이 적용될 때까지 기다렸다가 활성화하는 것이 좋습니다.

다른 두 가지의 보안 그룹 정책 유형을 살펴 보겠습니다.

[Auditing and enforcement of security group rules] – 이 정책 유형은 다음 장식 중 하나로 사용될 수 있는 감사 보안 그룹을 중심으로 사용됩니다.

생성할 수 있는 규칙에 대한 제한을 설정하는 가드레일을 구축하려면 이 정책 유형을 사용할 수 있습니다. 예를 들어, 특정 IP 주소 집합(예: /24)으로부터의 인바운드 액세스를 허용하는 정책 규칙을 생성하고 이를 사용하여 권한을 과도하게 허용하는 리소스가 있는지 탐지할 수 있습니다.

[Auditing and cleanup of unused and redundant security groups] – 이 정책 유형은 사용되지 않거나 불필요한 보안 그룹을 찾습니다.

정식 출시

본 기능은 지금 미국 동부(버지니아 북부) , 미국 동부(오하이오), 미국 서부(오레곤), 미국 서부(캘리포니아 북부), 유럽(아일랜드), 유럽(프랑크푸르트), 유럽(런던), 아시아 태평양(서울), 아시아 태평양(도쿄), 아시아 태평양(싱가포르) 및 아시아 태평양(서울) 지역에서 사용할 수 있습니다.

보안 정책당 월 100 USD가 청구됩니다. 더 자세한 것은 AWS Firewall Manager 페이지를 참고하시기 바랍니다.

— Jeff