이 AWS 솔루션 구현은 어떤 기능을 제공하나요?
이 솔루션은 안전하게 격리된 독립적 환경을 배포하여 개발자, 보안 전문가, 인프라 팀은 AWS에서 실행되는 AWS 서비스 및 서드 파티 애플리케이션을 사용해 안전하게 실험할 수 있습니다. 해당 샌드박스 환경은 브라우저 기반 액세스를 위해 Amazon AppStream 2.0을 활용하여 데이터 유출, 실수로 인한 파일 전송, 로컬 네트워크와의 통신과 같은 데이터의 위험을 막을 수 있는 보안 제어를 제공합니다.
장점
기존 AWS Organizations 계정 내에 네트워킹 격리 목적으로 샌드박스 계정을 생성하여 기존 계정을 안전하게 보호합니다.
사용자가 격리된 환경에서 자유롭게 실험하도록 허용하는 사용자 지정 IAM 역할을 사용해 보안 제어를 구현합니다.
안전한 Amazon CloudTrail 로그를 사용해 샌드박스 활동을 감사합니다.
샌드박스에 사용된 데이터를 격리하고 사용자가 로컬 네트워크에서 직접 파일을 업로드하는 것을 방지합니다.
AWS 솔루션 구현 개요
아래 다이어그램은 솔루션의 구현 안내서와 함께 AWS CloudFormation 템플릿을 사용하여 자동으로 배포할 수 있는 아키텍처 흐름을 보여줍니다.
AWS Innovation Sandbox 솔루션 구현 아키텍처
이 솔루션은 사용자의 AWS Organizations 계정에 두 가지 AWS CloudFormation 템플릿을 배포하고 다음을 설정합니다.
- 첫 번째 AWS CloudFormation 템플릿은 새로운 AWS 계정과 새로운 조직 단위(OU)를 각각 두 개씩 생성합니다.
- 관리 계정과 NAT 게이트웨이, AWS Transit Gateway, 인터넷 게이트웨이를 실행하는 Amazon Virtual Private Cloud(Amazon VPC)를 포함하는 조직 단위입니다.
- 샌드박스 계정과 Amazon VPC를 포함하는 조직 단위입니다.
- 솔루션의 샌드박스 계정은 인터넷에 대한 직접 액세스 권한이 없습니다. 이 샌드박스에 대한 트래픽 수신 및 송신은 AWS Transit Gateway을 통해 솔루션의 관리 계정으로 라우팅됩니다. 샌드박스 계정에 대한 액세스는 관리 계정으로부터의 액세스만 허용하기 위해(독립 환경 허용) AWS Identity and Access Management(IAM) 조건 키 aws:SourceIp를 통해 제한되어 있습니다.
- Amazon AppStream 2.0 이미지는 사용자가 필요한 애플리케이션 및 도구를 사용하여 생성합니다.
- 두 번째 CloudFormation 템플릿은 3단계에서 생성된 이미지를 사용하여 최종 사용자가 샌드박스 계정 액세스를 위해 연결하는 Amazon AppStream 2.0 인스턴스 플릿을 시작합니다.
중복성을 위해 고가용성을 목적으로 두 개의 가용 영역(AZ)에 서브넷과 함께 Amazon VPC가 생성됩니다. NAT 게이트웨이 및 Amazon AppStream 2.0 플릿은 이러한 두 개의 AZ 사이에 배포됩니다. Transit Gateway는 서브넷 양쪽으로 연결됩니다.
AWS Innovation Sandbox
버전 1.0.0
릴리스 날짜: 2021년 8월
작성: AWS
예상 배포 시간: 30분