EC2 VPC VPN 신규 기능 – NAT 탐색, 암호화 옵션 추가 등

Amazon Virtual Private Cloud(VPC)를 사용하면 논리적으로 분리된 네트워크 영역을 AWS 클라우드에 만들 수 있습니다. VPC에서 원하는 IP 주소 범위를 결정하여, 서브넷을 만들고 라우팅 테이블을 설정합니다. 또한, 사내에서 하드웨어 VPN 어플라이언스에 연결하도록 네트워크 게이트웨이를 만들 수 있습니다.

AWS 클라우드에서 동작하는 가상 프라이빗 네트워크(VPN)는 VPN 게이트웨이 또는 VGW로서 고객 데이터 센터 네트워크에 있는 고객 게이트웨이(CGW)와 연결할 수 있습니다. 오늘 이러한 VPN 서비스에 몇 가지 새로운 기능을 추가했습니다.

• NAT 탐색 지원
• 암호화 옵션 추가
• CGW IP 주소 재사용

이 세 가지의 새로운 기능을 활성화하기 위해서는 새로 VGW를 만들고 필요한 매개 변수와 함께 새로운 VPN 터널을 만들어야 합니다.

NAT 탐색 지원
네트워크 주소 변환 (NAT)은 특정 IP 주소 범위를 다른 IP 주소 범위로 변환하는 변환맵(Map)을 가집니다. VPC를 만들고 원하는 IP 대역대를 설정했을 때 여러 서브넷으로 만들어지고, 여러분의 EC2 인스턴스는 VPC내에 서브넷 중 하나에 연결됩니다. 이제 이를 VGW에 연결하려면 NAT 탐색 혹은 NAT-T를 사용 해야합니다. NAT-T는 사내 네트워크를 NAT 장치 뒤에 숨기면서, VPC에 연결할 수 있도록 합니다.

이러한 매핑은 VPN 연결이 만들어 질 때 자동으로 이루어집니다. AWS 관리 콘솔로 설정할 필요가 없으며, NAT 장치 탐색 기능을 사용하고 UDP 포트 4500 번을 사용할 수 있도록 방화벽(Firewall)을 설정하면 됩니다.

암호화 옵션 추가
여러 가지 암호화 옵션을 사용할 수 있습니다. VPC에 있는 하드웨어 VPN은 기존 데이터 센터 네트워크와 VPN에 연결되면, 여러 가지 다른 강도의 암호화 옵션을 제공합니다. 이제는 AES256을 기존의 AES128를 대체하여 사용하도록 권장됩니다. 새로운 암호 옵션을 사용한다면 전달 받는 측의 장치에서 AES128을 받지 않게 설정 해야합니다.

두 엔드포인트 사이에서는 Diffie-Hellman 키 공유 프로토콜에 의해 중요한 정보를 공유합니다. DH 그룹은 키의 해시 강도 결정과 공유에 사용됩니다. 이제는 몇 개의 그룹에서 선택할 수 있습니다.

• Phase 1에서는 DH 그룹 2, 14-18, 22, 23 및 24.
  <liPhase 2에서는 DH 그룹 1, 2, 5, 14-18, 22, 23 및 24.

VPN에 연결 된 패킷은 해시 알고리즘을 사용하여 검증합니다. 해시가 일치하는 경우, 패킷이 도중에 변경되지 않았음을 나타냅니다. 이제 256 비트 다이제스트(SHA-256)를 사용한 SHA-2를 사용할 수 있습니다. 강도가 약한 알고리즘을 사용하지 않도록 장치를 설정하여 주어야 합니다.

CGW IP 주소 재사용성
이제는 CGW을 만들 때마다 IP 주소가 고유할 필요는 없습니다. 즉, 사용하는 IP 주소를 재사용 할 수 있다는 것입니다. VPC를 사용하고 있는 사용자로부터 많은 요구가 있었던 기능입니다.

자세한 내용은 FAQ 및 VPC 네트워크 관리자 가이드를 참조하십시오.

— Jeff;

이 글은 EC2 VPC VPN Update – NAT Traversal, Additional Encryption Options, and More의 한국어 번역입니다.