AWS Transfer Family SFTP 커넥터, VPC 기반 연결 지원

많은 기업이 중요한 비즈니스 데이터 교환을 위한 업계 표준으로 Secure File Transfer Protocol(SFTP)을 애용합니다. 기존에는 프라이빗 SFTP 서버로 안전하게 연결하려면 사용자 지정 인프라, 수동 스크립팅이 필요하거나 엔드포인트를 퍼블릭 인터넷에 노출해야 했습니다.

이제부터는 AWS Transfer Family SFTP 커넥터가 Amazon Virtual Private Cloud(Amazon VPC) 환경을 통해 원격 SFTP 서버로의 연결을 지원합니다. Amazon Simple Storage Service(Amazon S3)와 프라이빗 또는 퍼블릭 SFTP 서버 간에 파일을 전송하면서, VPC에 이미 정의된 보안 제어와 네트워크 구성을 적용할 수 있습니다. 이 기능을 이용하면 온프레미스 환경, 파트너가 호스팅하는 프라이빗 서버 또는 인터넷상의 엔드포인트 전체에 데이터 소스를 통합하는 데 도움이 되고, 여기에 더해 완전관리형 Amazon Web Service (AWS) 서비스의 운영 단순성도 누릴 수 있습니다.

SFTP 커넥터 관련 새로운 기능
주요 강화 요소는 다음과 같습니다.

• 프라이빗 SFTP 서버로 연결 – 이제 SFTP 커넥터가 AWS VPC 연결 내에서만 액세스할 수 있는 엔드포인트에 연결할 수 있습니다. 여기에는 사용자 VPC 또는 공유 VPC에서 호스팅되는 서버, AWS Direct Connect로 연결된 온프레미스 시스템, VPN 터널을 통해 연결된 파트너 호스팅 서버가 포함됩니다.
• 보안 및 규정 준수 – 모든 파일 전송은 AWS Network Firewall과 같이 이미 VPC에 적용된 보안 제어 또는 중앙 집중화된 수신 및 송신 검사를 통해 라우팅됩니다. 프라이빗 SFTP는 프라이빗으로 유지되며 인터넷에 노출될 필요가 없습니다. 또한 정적인 탄력적 IP 또는 Bring Your Own IP(BYOIP) 주소를 제시해 파트너 허용 목록 요구 사항을 충족할 수도 있습니다.
• 성능 및 단순성 – 커넥터가 NAT 게이트웨이, AWS Direct Connect 또는 VPN 연결과 같은 자체 네트워크 리소스를 사용함으로써 대규모 전송에 필요한 높은 대역폭 용량을 유리하게 활용할 수 있습니다. 사용자 지정 스크립트나 타사 도구를 빌드할 필요 없이, AWS Management Console, AWS Command Line Interface(AWS CLI) 또는 AWS SDK를 통해 몇 분 만에 커넥터를 구성할 수 있습니다.

VPC 기반 SFTP 커넥터의 작동 원리
SFTP 커넥터는 Amazon VPC Lattice 리소스를 사용해 VPC를 통한 안전한 연결을 설정합니다. 주요 구조로는 리소스 구성과 리소스 게이트웨이가 있습니다. 리소스 구성은 대상 SFTP 서버를 나타내며, 이것은 프라이빗 IP 주소나 퍼블릭 DNS 이름을 사용해 지정합니다. 리소스 게이트웨이는 SFTP 커넥터에 이러한 구성에 대한 액세스 권한을 제공하고, 파일 전송이 VPC 및 보안 제어를 통과해 이동하도록 해줍니다.

다음 아키텍처 다이어그램에 Amazon S3와 원격 SFTP 서버 사이에서 트래픽이 어떻게 이동하는지 나타냈습니다. 아키텍처에 표시된 것처럼, 트래픽은 Amazon S3에서 SFTP 커넥터를 통과해 VPC로 유입됩니다. 리소스 게이트웨이는 커넥터에서 VPC 리소스로의 인바운드 연결을 처리하는 진입점입니다. 아웃바운드 트래픽은 구성된 송신 경로를 통해 라우팅됩니다. 퍼블릭 서버의 경우 탄력적 IP로 Amazon VPC를, 프라이빗 서버의 경우 AWS Direct Connect 또는 VPN 연결을 사용합니다. VPC CIDR 범위의 기존 IP 주소를 사용하면 파트너 서버 허용 목록이 간소화됩니다. VPC 적용 보안 정책의 중앙 집중화된 방화벽과 고객이 소유한 NAT 게이트웨이를 사용하면 대규모 전송을 위한 높은 대역폭이 제공됩니다.

이 특성을 사용할 때
이 기능을 사용하면 개발자와 IT 관리자가 다양한 상황에서 워크플로를 간소화하면서 보안 및 규정 준수 요구 사항을 충족할 수 있습니다.

• 하이브리드 환경 – 엔드포인트를 인터넷에 노출하지 않고 AWS Direct Connect 또는 AWS Site-to-Site VPN을 사용하여 Amazon S3와 온프레미스 SFTP 서버 간에 파일을 전송합니다.
• 파트너 통합 – 프라이빗 VPN 터널 또는 공유 VPC를 통해서만 액세스할 수 있는 비즈니스 파트너의 SFTP 서버를 사용해 연결합니다. 이렇게 하면 사용자 지정 스크립트를 빌드하거나 타사 도구를 관리할 필요가 없어 운영 복잡성이 감소됩니다.
• 규제 대상 업종 – 파일 전송을 중앙 집중형 방화벽이나 VPC의 검사 지점을 통해 라우팅하여 금융 서비스, 정부 기관 또는 의료 서비스 보안 요구 사항을 준수합니다.
• 처리량이 많은 전송 – NAT 게이트웨이, AWS Direct Connect 또는 탄력적 IP나 BYOIP를 사용한 VPN 연결과 같은 자체 네트워크 구성을 사용해 대규모, 고대역폭 전송을 처리하면서 파트너 허용 목록에 이미 포함된 IP 주소를 그대로 유지합니다.
• 통합 파일 전송 솔루션 – 내부 및 외부 SFTP 연결 모두에 대하여 Transfer Family에서 정규화하므로 파일 전송 도구 전체에서의 파편화가 적습니다.

SFTP 커넥터로 빌드 시작
제 VPC 환경을 통해 SFTP 커넥터로 파일 전송을 시작하려면 저는 다음과 같은 단계를 따릅니다.

첫째, VPC Lattice 리소스를 구성합니다. Amazon VPC 콘솔의 탐색 창에 있는 PrivateLink 및 Lattice 아래에서 리소스 게이트웨이를 선택하고, 리소스 게이트웨이 만들기를 선택해 제 VPC로의 수신 지점 역할을 할 게이트웨이를 하나 만듭니다. 다음으로, 탐색 창의 PrivateLink 및 Lattice 아래에서 리소스 구성을 선택하고 리소스 구성 만들기를 선택해 대상 SFTP 서버의 리소스 구성을 만듭니다. 프라이빗 IP 주소 또는 퍼블릭 DNS 이름, 포트(보통 22)를 지정합니다.

그런 다음 AWS Identity and Access Management(IAM) 권한을 구성합니다. 커넥터를 만드는 데 사용되는 IAM 역할에 transfer:* 권한, VPC Lattice 권한(vpc-lattice:CreateServiceNetworkResourceAssociation, vpc-lattice:GetResourceConfiguration, vpc-lattice:AssociateViaAWSService)이 있어야 합니다. IAM 역할의 신뢰 정책을 업데이트하여 transfer.amazonaws.com을 신뢰할 수 있는 주체로 지정합니다. 이렇게 하면 AWS Transfer Family가 제 SFTP 커넥터를 만들고 관리할 때 이 역할을 맡을 수 있습니다.

이렇게 하고 나서, AWS Transfer Family 콘솔을 통해 SFTP 커넥터를 만듭니다. SFTP 커넥터를 선택하고 SFTP 커넥터 만들기를 선택합니다. 커넥터 구성 섹션에서 송신 유형으로 VPC Lattice를 선택하고, 리소스 구성, 액세스 역할 및 커넥터 자격 증명의 Amazon 리소스 이름(ARN)을 입력합니다. 선택 사항으로, 보안을 강화하기 위해 신뢰할 수 있는 호스트 키를 추가하거나, SFTP 서버가 비표준 포트를 사용하는 경우 기본 포트를 재정의할 수 있습니다.

다음으로, 연결을 테스트합니다. 작업 메뉴에서 연결 테스트를 선택해 커넥터가 대상 SFTP 서버에 연결할 수 있는지 확인합니다.

마지막으로, 커넥터 상태가 ACTIVE가 되고 나면 StartDirectoryListing, StartFileTransfer, StartRemoteDelete 또는 StartRemoteMove와 같은 Transfer Family API를 호출하여 원격 SFTP 서버를 사용해 프로그램 방식으로 파일 작업을 시작할 수 있습니다. 모든 트래픽은 NAT 게이트웨이, AWS Direct Connect 또는 VPN 연결과 같은 구성된 리소스와 IP 주소 및 보안 제어를 사용해 VPC를 통해서 라우팅됩니다.

옵션 세트 전체 목록과 고급 워크플로는 AWS Transfer Family 설명서를 참조하세요.

정식 출시

VPC 기반 연결이 지원되는 SFTP 커넥터는 현재 21개 AWS 리전에서 제공됩니다. 최신 지원되는 AWS 리전은 리전별 AWS 서비스를 참조하세요. 이제 NAT 게이트웨이, 탄력적 IP 및 네트워크 방화벽과 같은 자체 VPC 리소스를 사용해 프라이빗, 온프레미스 또는 인터넷상의 서버로 AWS Transfer Family SFTP 커넥터를 안전하게 연결할 수 있습니다.

— Betty