레퍼런스 배포

AWS의 Amazon EC2 인스턴스를 위한 편의적 IPsec 메시

Amazon EC2 인스턴스 간에 동적 IPsec 터널 설정 및 구성

이 Quick Start는 Amazon Web Services(AWS) 클라우드에 Amazon Elastic Compute Cloud(EC2) 인스턴스 간에 동적 IPsec 터널을 설정하는 편의적 인터넷 프로토콜 보안(IPsec) 메시를 배포합니다.

IPsec은 호스트 간에 이동하는 데이터를 보호하기 위한 프로토콜입니다. 여러 호스트에서 사이트 간에 IPsec을 수동으로 구성하면 오류가 발생하기 쉽고 노동 집약적인 작업이 될 수 있으며, 메시 파라미터의 동기화를 유지하기 위해 상당한 노력이 필요할 수 있습니다. 편의적 IPsec을 사용하면 호스트를 추가하거나 제거할 때 변경할 필요가 없는 간단한 단일 구성을 사용하여 다수의 호스트에 대한 IPsec 메시를 설정할 수 있습니다.

이 Quick Start는 약 5분 만에 AWS 계정에서 편의적 IPsec 메시 환경을 설정합니다. 구현에는 IPsec 암호화 및 IKE(Internet Key Exchange) 버전 2의 오픈 소스 구현인 Libreswan을 사용합니다. 이 Quick Start는 다음을 자동화하는 환경을 설정합니다.

  • EC2 인스턴스 시작 시 편의적 IPsec 구성.
  • 인스턴스 인증서 생성 및 주간 재등록.
  • 각 EC2 인스턴스에 대한 Amazon CloudWatch의 IPsec 모니터링 지표.
  • IPsec 설정 또는 인증서 재등록 실패 시 CloudWatch 및 Amazon Simple Notification Service(Amazon SNS)를 통한 경보 및 알림 제공.
  • 필요한 경우 CA 키와 인스턴스 키를 보호하는 AWS Identity and Access Management(IAM) 정책 및 CMK(고객 마스터 키)를 비롯한 CA(인증 기관) 루트 키의 최초 생성.
AWS-Logo_Full-Color_100x60

이 Quick Start는 AWS 솔루션스 아키텍트와 보안 컨설턴트가 개발했습니다.

  •  구축할 내용
  •  배포 방법
  •  비용 및 라이선스
  •  구축할 내용
  • 이 Quick Start는 EC2 인스턴스 간에 IPsec 메쉬를 프로비저닝하기 위해 다음과 같은 서버리스 아키텍처를 설정하며, 선택적으로 프로비저닝 대상을 Virtual Private Cloud(VPC)로 제한합니다.

    • 인증서를 발급하고, EC2 인스턴스에 IPsec을 설정하고, 인증서를 재등록하기 위한 3개의 AWS Lambda 함수. 또한 기존 CA 인증서 및 키가 없는 경우 이 Quick Start는 네 번째 Lambda 함수를 사용하여 CA 인증서를 생성하여 새 Amazon Simple Storage Service(Amazon S3) 버킷에 저장합니다.
    • 2개의 CMK(고객 마스터 키): CA 키를 보호하기 위한 CMK와 전송 중에 호스트 키를 보호하기 위한 CMK.
    • 3개의 S3 버킷: IPsec 구성용 1개, CA 인증서 및 키용 1개, 호스트 키용 1개.
    • EC2 인스턴스 시작 시 발생하는 CloudWatch 이벤트 및 재등록을 위해 예약된 주간 이벤트.
    • IPsec 구성 오류를 감시하는 CloudWatch 경보 및 구독하여 알림을 받을 수 있는 Amazon SNS 주제.

    이 다이어그램은 Quick Start IPsec 환경에서 자동화되는 단계를 보여 줍니다. 각 단계에 대한 자세한 설명은 배포 안내서를 참조하십시오.
  •  배포 방법
  • AWS에서 편의적 IPsec 메시 환경을 배포하려면, 배포 안내서의 지침을 따르십시오. 배포 프로세스에는 다음과 같은 단계가 있습니다.

    1. 아직 AWS 계정이 없다면 https://aws.amazon.com에서 가입하여 계정에 로그인하십시오.
    2. Quick Start를 시작합니다. 배포에는 약 5분이 걸립니다. 
    3. S3 버킷의 파일을 편집하여 IPsec 네트워크를 구성합니다.
    4. (선택 사항) 테스트를 위해 EC2 인스턴스를 시작합니다.
    5. (선택 사항) EC2 인스턴스에서 연결을 테스트합니다.
  •  비용 및 라이선스
  • 이 Quick Start 참조 배포를 실행하는 동안 사용되는 AWS 서비스 비용은 고객이 부담해야 합니다. Quick Start 사용에 따르는 추가 비용은 없습니다.

       Quick Start를 배포한 후에는 AWS 비용 및 사용 보고서를 활성화하여 Quick Start 관련 비용을 추적하는 것이 좋습니다. 이 보고서는 계정의 S3 버킷에 결제 지표를 제공합니다. 매월 사용량을 기반으로 요금을 산정하고 월말에 데이터를 마무리합니다. 보고서에 대한 자세한 내용은 AWS 설명서를 참조하십시오.

    이 Quick Start는 GNU General Public License 버전 2에 준하여 제공되는 Libreswan을 사용합니다.