AWS 기술 블로그

AWS 전송 게이트웨이의 보안 그룹 참조 지원 기능 소개

본 블로그 게시글은 AWS Networking & Content Delivery에 게시된 Introducing security group referencing for AWS Transit Gateway by Gerardo Vazquez and Mohamad Naji 을 한국어 번역 및 편집하였습니다.

이 글을 통해 AWS Transit Gateway (AWS 전송 게이트웨이)의 보안 그룹 참조 지원 기능을 소개 합니다. 이 새로운 기능은 동일한 AWS 리전 내에서 전송 게이트웨이에 연결된 다른 Amazon Virtual Private Cloud (Amazon VPC) 에서 정의된 보안 그룹을 참조하는 인바운드 보안 규칙을 생성할 수 있게 해줍니다. 현재 전송 게이트웨이를 통해 참조되는 아웃바운드 보안 규칙은 지원되지 않습니다.

전송 게이트웨이는 여러 Amazon VPC 및 온프레미스 네트워크를 연결하여 허브 & 스포크 네트워크를 구축하는 데 도움을 주는 네트워크 전송 허브입니다. 이를 통해 서드파티 가상 장비를 프로비저닝할 필요 없이 아키텍처의 보안을 간소화, 제어 및 개선할 수 있습니다. 전송 게이트웨이는 완전 관리형 서비스로, 고가용성, 확장성, 원활한 설정을 제공하며, 리전 내에서 전송 게이트웨이당 수천 개의 VPC 연결을 지원할 수 있습니다. 자세한 내용은 전송 게이트웨이 할당량 문서를 참조하십시오.

전송 게이트웨이를 위한 새로운 보안 참조 기능은 보안 그룹의 관리를 간소화합니다. 이를 통해 IPv6 또는 IPv4 주소나 CIDR 대신 보안 그룹 참조를 사용하여 규칙을 생성할 수 있습니다. 이는 VPC 피어링에서 전송 게이트웨이로의 쉬운 마이그레이션을 가능하게 하며, 특히 보안 그룹 참조에 크게 의존하는 환경인 경우에 유리합니다. 이 기능은 수천 개의 VPC 간의 대규모 네트워킹을 지원하면서도, 간소화된 보안 그룹 관리를 통해 향상된 보안 태세를 제공합니다.

이제 부터 전송 게이트웨이에서 보안 그룹 참조를 활성화 및 비활성화하는 방법을 보여주고, 일반적인 시나리오에서 어떻게 사용되는지를 설명드리겠습니다.

시작하기: 전송 게이트웨이를 통한 보안 그룹 참조 사용 방법

AWS Management Console, AWS SDK 또는 AWS API를 사용하여 새 전송 게이트웨이를 생성하거나, 기존 전송 게이트웨이 또는 전송 게이트웨이 VPC Attachment (연결)를 편집할 때 보안 그룹 참조 지원 옵션을 활성화하거나 비활성화할 수 있습니다.
전송 게이트웨이 수준에서의 보안 그룹 참조 지원 설정과 전송 게이트웨이 VPC Attachment (연결) 수준에서의 설정 간의 차이를 이해하는 것이 중요합니다. 이를 통해 네트워크 아키텍처의 보안 요구를 충족하기 위한 접근 제어 집합을 선택할 수 있습니다.

이 기능을 사용하려면 보안 그룹 참조 지원이 전송 게이트웨이와 전송 게이트웨이 VPC Attachment (연결) 모두에서 활성화되어야 합니다.

그림 1. 전송 게이트웨이를 통해 연결된 세 개의 VPC

전송 게이트웨이를 통해 연결된 세 개의 VPC가 있다고 가정합니다.

그림 1에 표시된 아키텍처를 고려하십시오:

  1. 전송 게이트웨이와 세 개의 연결(VPC 1, VPC 2 및 VPC 3)에서 보안 그룹 참조가 활성화되면, 전송 게이트웨이를 통해 세 개의 VPC 간에 보안 그룹 참조가 가능해집니다.
  2. 전송 게이트웨이와 VPC 1 및 VPC 2 연결에만 보안 그룹 참조가 활성화된 경우(VPC 3은 제외), 전송 게이트웨이를 통해 VPC 1과 VPC 2 간의 보안 그룹 참조는 가능하지만, VPC 3과는 불가능합니다.
  3. 전송 게이트웨이에서 보안 그룹 참조가 비활성화되면, 개별 전송 게이트웨이 VPC Attachment (연결)에서 이 옵션이 활성화되어 있더라도 이 전송 게이트웨이를 통해 보안 그룹 참조를 사용할 수 없습니다.

1. 전송 게이트웨이 수준에서의 보안 그룹 참조 지원

보안 그룹 참조 지원 기능은 기본적으로 전송 게이트웨이 수준에서 비활성화되어 있으며, 기능 도입 이전에 생성된 전송 게이트웨이도 포함됩니다.
전송 게이트웨이 수준에서 이 기능을 활성화하려면 콘솔에서 보안 그룹 참조 지원 옵션을 체크하십시오(그림 2 참조).

이 문서를 작성하는 시점에, AWS Outposts(아웃포스트)와 일부 AWS Local Zones(로컬 영역) 유형에서는 보안 그룹 참조가 지원되지 않습니다.

자세한 정보는 보안 그룹 참조 문서를 참조하십시오.


그림 2. 콘솔 내 전송 게이트웨이 수준에서의 보안 그룹 참조 지원 옵션

이 기능을 비활성화하려면 보안 그룹 참조 지원 옵션의 체크를 해제하십시오.

보안 그룹 참조 지원 옵션이 비활성화되면 보안 그룹 참조는 전체 전송 게이트웨이에 대해 작동하지 않습니다. 따라서 참조된 보안 그룹에만 의존하는 인스턴스 간의 트래픽은 IPv4 또는 IPv6 주소/CIDR을 사용하는 다른 규칙과 일치하지 않는 한 차단됩니다.

이 기능은 API/CLI를 사용하여 SecurityGroupReferencingSupport 옵션으로 활성화 및 비활성화를 할 수도 있습니다. 다음은 몇 가지 AWS CLI 예시입니다:

새 전송 게이트웨이인 MyTransitGateway에서 보안 그룹 참조 지원 옵션 활성화:

aws ec2 create-transit-gateway --description MyTransitGateway --options SecurityGroupReferencingSupport=enable

기존 전송 게이트웨이인 tgw-1234abcd에서 보안 그룹 참조 지원 옵션 활성화:

aws ec2 modify-transit-gateway --transit-gateway-id tgw-1234abcd --options SecurityGroupReferencingSupport=enable

기존 전송 게이트웨이인 tgw-1234abcd에서 보안 그룹 참조 지원 옵션 비활성화:

aws ec2 modify-transit-gateway --transit-gateway-id tgw-1234abcd --options SecurityGroupReferencingSupport=disable

전송 게이트웨이 수준의 설정을 수정해도 개별 전송 게이트웨이 Attachment (연결)의 구성에는 영향을 미치지 않습니다. 각 Attachment (연결)는 이 기능에 대한 개별 설정을 유지합니다.

2. 전송 게이트웨이 VPC Attachment (연결) 수준에서의 보안 그룹 참조 지원

기본적으로 보안 그룹 참조 지원 기능은 전송 게이트웨이 VPC Attachment (연결)에서 활성화되어 있으며, 기능 도입 이전에 생성된 경우에도 해당됩니다.
콘솔을 통해 이 옵션을 제어하려면 보안 그룹 참조 지원 옵션을 찾으십시오(그림 3 참조). 이 상자를 체크하여 기능을 활성화하거나 체크를 해제하여 비활성화합니다.

그림 3. 콘솔 내 전송 게이트웨이 VPC Attachment (연결) 수준에서의 보안 그룹 참조 지원 옵션

VPC Attachment (연결) 수준에서 보안 그룹 참조 지원 설정을 수정하는 것은 전송 게이트웨이 수준의 설정과 독립적으로 작동합니다. 그러나 이 기능이 제대로 작동하려면 전송 게이트웨이와 개별 VPC Attachment (연결) 수준 모두에서 활성화되어야 합니다.

이러한 이중 구성 접근 방식은 관리자가 특정 VPC Attachment (연결)에 대해 보안 그룹 참조 기능을 비활성화하거나 선택 해제할 수 있도록 하여, 전송 게이트웨이 수준에서는 활성화된 상태를 유지할 수 있습니다.

이 옵션은 API/CLI를 통해서도 활성화/비활성화할 수 있습니다.
다음 예시는 보안 그룹 참조가 활성화된 새로운 전송 게이트웨이 VPC Attachment (연결)를 생성합니다:
aws ec2 create-transit-gateway-vpc-attachment --transit-gateway-id tgw-0262a0e521EXAMPLE
--vpc-id vpc-07e8ffd50f49335df
--subnet-id subnet-0752213d59EXAMPLE
--options SecurityGroupReferencingSupport=enable

API/CLI 호출에서 SecurityGroupReferencingSupport를 정의하지 않으면 기본 설정이 활성화됩니다.

다음 예시는 전송 게이트웨이 수준의 설정과 관계없이, 전송 게이트웨이 VPC Attachment (연결) ID tgw-attach-09fbd47ddf에 대해 기능을 비활성화합니다:
aws ec2 modify-transit-gateway-vpc-attachment --transit-gateway-attachment-id tgw-attach-09fbd47ddf
--options SecurityGroupReferencingSupport=disable

VPC 연결 수준에서 보안 그룹 참조를 비활성화하면, 보안 그룹 참조를 사용하는 새로운 인바운드 보안그룹을 구성할 수 없습니다. 보안 그룹 참조 기능을 사용하여 허용되던 인스턴스 간 트래픽은 비활성화 후 차단 됩니다.

참조가 활성화된 VPC 연결을 삭제할 때 보안 그룹 참조는 유효하지 않게 됩니다. 이 작업을 수행하기 전에 describe-security-group-referencesdescribe-stale-security-groups API/CLI 호출을 사용하는 것을 권장합니다.

마지막으로, 다른 보안 그룹에 의해 교차 참조된 보안 그룹을 삭제하면 보안 그룹 참조를 사용하는 규칙이 유효하지 않게 됩니다.

보안 그룹 참조 사용 사례

다음의 일반적인 예시는, 보안 그룹 참조가 리전 내의 전송 게이트웨이에 연결된 여러 VPC에 걸쳐, 리소스에 대한 엄격한 접근 제어를 시행하는 데 어떻게 도움이 되는지를 보여줍니다.

1. 전송 게이트웨이로 연결된 서로 다른 VPC에 배포된 다양한 애플리케이션 계층 간의 리소스 공유

다음 아키텍처(그림 4)는 세 개의 VPC(VPC 1, VPC 2 및 VPC 3)에 걸쳐 있는 웹, 애플리케이션 및 데이터베이스 계층으로 구성됩니다.
전송 게이트웨이가 VPC를 연결하여 상호 연결성을 가능하게 합니다. 목표는 VPC 1의 웹 계층 인스턴스가 VPC 2의 애플리케이션 계층 인스턴스에 접근할 수 있도록 하는 것입니다. VPC 2의 애플리케이션 계층 인스턴스는 VPC 3의 데이터베이스 계층 인스턴스에 접근해야 합니다.

보안 그룹은 VPC IP 주소 패밀리(IPv4 또는 IPv6)와 독립적이므로 인스턴스 간 트래픽을 이중 스택(IPv4 또는 IPv6) VPC 또는 IPv6 전용 서브넷 간에 허용할 수 있습니다. 따라서 웹, 애플리케이션 및 데이터베이스 인스턴스는 IPv4 주소, IPv6 주소 또는 둘의 조합을 사용할 수 있습니다.
이 그림에서는 전송 게이트웨이를 통해 통신하는 웹, 애플리케이션 및 데이터베이스 계층을 보여줍니다.

그림 4. 전송 게이트웨이를 통해 통신하는 웹, 애플리케이션 및 데이터베이스 계층

웹 계층 인스턴스가 포트 443(HTTPS)에서 애플리케이션 계층 인스턴스에 접근할 수 있도록 하려면, VPC 1에서 정의된 웹 계층 보안 그룹을 VPC 2의 애플리케이션 계층 보안 그룹의 인바운드 규칙에 참조할 수 있습니다. 아래는 AWS CLI 예제입니다 :
aws ec2 authorize-security-group-ingress --group-name SG-App-Tier --protocol tcp --port 443 --source-group SG-Web-Tier --groupowner vpc1-web-tier-owner

유사하게, 애플리케이션 계층 인스턴스가 포트 3306에서 데이터베이스 계층 인스턴스에 접근할 수 있도록 하려면, VPC 2에서 정의된 애플리케이션 계층 보안 그룹을 VPC 3의 데이터베이스 계층 보안 그룹의 인바운드 규칙에 참조할 수 있습니다: 아래는 AWS CLI 예제입니다 :
aws ec2 authorize-security-group-ingress --group-name SG-DB-Tier --protocol tcp --port 3306 --source-group SG-App-Tier --groupowner vpc2-app-tier-owner

2. 중앙 집중식 공유 서비스 VPC에 대한 보안 접근 강화 및 간소화

때때로 방화벽이나 보안 그룹 관리의 복잡성을 걱정하지 않고 특정 애플리케이션에 대한 공유 서비스 VPC의 보안 접근을 강화하고자 할 수 있습니다.

다음 아키텍처(그림 5)에서는 VPC 1의 여러 애플리케이션 계층 인스턴스가 공유 서비스 VPC의 AWS Directory Service(디렉토리 서비스)에 접근해야 합니다. 두 VPC는 전송 게이트웨이를 통해 연결됩니다.

VPC 1의 애플리케이션 계층 인스턴스가 디렉토리에 접근할 수 있도록 하려면, VPC 1의 애플리케이션 계층 보안 그룹을 공유 서비스 VPC의 디렉토리 서비스 계층 보안 그룹의 인바운드 규칙에 추가할 수 있습니다. 이렇게 하면 VPC 1의 인스턴스가 보안 그룹 참조를 통해 디렉토리와 통신할 수 있습니다.

그림 5. 전송 게이트웨이를 통해 디렉토리 서비스에 연결된 애플리케이션 계층 인스턴스

만약 검사 (Inspection) VPC가 있는 경우, 전송 게이트웨이를 통한 보안 그룹 참조는 AWS Gateway Load Balancer(게이트웨이 로드 밸런서) 또는 AWS Network Firewall(네트워크 방화벽)을 통해 작동하지 않습니다.

3. 공유 VPC 모델에서의 리소스 공유

공유 VPC 모델(이전 사용 사례에서 언급한 공유 서비스 VPC와 혼동해서는 안 됨)에서는 애플리케이션이 전송 게이트웨이를 통해 연결된 여러 공유 VPC에 걸쳐 있을 수 있습니다. 보안을 강화하면서 보안 접근 제어를 간소화하기 위해 전송 게이트웨이를 통한 보안 그룹 참조를 사용할 수 있습니다.

다음 예(그림 6)에서는, AWS 계정 1의 공유 VPC 1 내의 프라이빗 서브넷에 있는 애플리케이션 인스턴스가, AWS 계정 5의공유 VPC 2 내의 프라이빗 서브넷에 있는, 또 다른 애플리케이션에 접근해야 하는 경우입니다. 이제 전송 게이트웨이를 통해 다른 AWS 계정의 VPC에서 보안 그룹을 교차 참조하는 것이 가능하므로, AWS 계정 1의 공유 VPC 1 내에 정의된 애플리케이션 계층 인스턴스의 보안 그룹을, AWS 계정 5의 공유 VPC 2 내의 애플리케이션 계층 보안 그룹의 인바운드 규칙에 참조할 수 있습니다.

그림 6. 전송 게이트웨이를 통해 연결된 애플리케이션 계층 인스턴스

고려 사항

  1. AWS Outposts(아웃포스트)와 일부 AWS Local Zones(로컬 영역) 유형에서는 보안 그룹 참조가 지원되지 않습니다. 서비스 중단을 피하기 위해 일부 유형의 로컬 영역 및 아웃포스트에서 확장된 VPC의 보안 그룹 참조 플래그를 비활성화해야 합니다. 더 많은 정보는 문서를 참조하십시오.
  2. 다른 AWS 리전의 보안 그룹을 참조할 수 없습니다. 두 VPC를 연결하려면 두 VPC 모두 동일한 전송 게이트웨이에 연결되어 있고 동일한 리전에 있어야 합니다.
  3. 제 3자 미들박스(middle-box) 또는 BITM (bump-in-the-wire) 장치 간에서는 보안 그룹 참조가 작동하지 않습니다. 따라서 제3자 미들박스 또는 BITM 장치를 통한 인스턴스 간 트래픽은 보안 그룹 참조를 사용하여 허용할 수 없습니다.
  4. 전송 게이트웨이에서 멀티캐스트에 대한 보안 그룹 참조가 지원되지 않습니다.
  5. 아웃바운드 보안 그룹에 대해 보안 그룹 참조가 지원되지 않습니다.

더 많은 고려 사항은 문서의 전송 게이트웨이를 통한 보안 그룹 참조 항목에서 확인할 수 있습니다.

보안그룹 참조 지원 기능 활성화 / 비활성화 여부에 따른 전송 게이트웨이 동작을 아래 표로 요약하여 보겠습니다.

 

전송 게이트웨이 수준의
보안그룹 참조 지원
VPC 연결 수준의
보안그룹 참조 지원
보안그룹 참조 지원
신규/기존
전송 게이트웨이
활성화 활성화 활성화
비활성화 (기본값) 활성화 (기본값) 비활성화 (기본값)
활성화 비활성화 비활성화
비활성화 비활성화 비활성화

마치며

전송 게이트웨이를 통한 보안 그룹 참조의 도입으로 이제 전송 게이트웨이를 통해 리소스에 대한 보안 접근 제어를 강화할 수 있는 직접적이고 편리한 방법이 제공됩니다. 이 새로운 기능은 특히 많은 보안 그룹 참조가 운영 환경에 배포된 경우, VPC 피어링에서 전송 게이트웨이로의 직접적인 마이그레이션 경로를 제공합니다.
이 게시물에서는 전송 게이트웨이를 통한 보안 그룹 참조를 활성화 및 비활성화하는 방법과 이 기능이 일부 사용 사례에서 제공하는 이점을 보여주었습니다.
이 기능은 이제 AWS 상용 리전, AWS GovCloud(미국) 리전 및 AWS 중국 리전에서 사용할 수 있습니다.
전송 게이트웨이에 대해 더 알아보려면 전송 게이트웨이 문서를 참조하십시오. 이 게시물에 대한 질문이 있는 경우, AWS re:Post 에 새로운 스레드를 시작하거나 AWS 지원에 문의하십시오.

Hyunwoo Lee

Hyunwoo Lee

이현우 Technical Account Manager는 클라우드 엔지니어 경험을 바탕으로 고객이 AWS 워크로드를 안정적으로 운영할 수 있도록 기술적 지원을 제공하고 있으며, 고객의 클라우드 여정에서 발생하는 다양한 과제에 대해 함께 고민하고 해결하는 역할을 수행하고 있습니다.