개요
AWS 기반 중앙 집중식 네트워크 검사는 네트워크 트래픽을 필터링하는 데 필요한 AWS 리소스를 구성합니다. 이 솔루션은 Amazon Virtual Private Cloud(VPC) 간의 트래픽을 검사하기 위해 중앙 집중식 AWS Network Firewall을 프로비저닝하는 프로세스를 자동화하여 시간을 단축해 줍니다.
장점
이 솔루션을 사용하면 Amazon S3 버킷에 있는 구성 패키지의 규칙 그룹과 방화벽 정책을 수정할 수 있습니다. 그러면 AWS CodePipeline이 자동으로 간접 호출되어 검증 및 배포가 실행됩니다.
이 솔루션을 사용하면 수백 또는 수천 개의 Amazon VPC와 계정을 한 곳에서 검사할 수 있습니다. 또한 AWS Network Firewall, 방화벽 정책 및 규칙 그룹을 중앙에서 구성하고 관리할 수 있습니다.
이 솔루션은 GitOps 워크플로를 사용하여 AWS Network Firewall 구성 변경에 대한 협업을 진행하고 관리하는 데 도움이 됩니다.
기술 세부 정보
구현 가이드 및 함께 제공되는 AWS CloudFormation 템플릿을 사용하여 이 아키텍처를 자동으로 배포할 수 있습니다.
1단계
AWS CloudFormation 템플릿은 솔루션이 배포된 리전 내에서 무작위로 선택된 가용 영역에 4개의 서브넷이 있는 검사 가상 프라이빗 클라우드(VPC)를 배포합니다.
1a단계
기존 Transit Gateway ID를 제공하는 경우 솔루션은 서브넷 중 2개를 사용하여 VPC의 AWS Transit Gateway Attachment를 생성합니다.
1b단계
솔루션은 다른 2개의 서브넷을 사용하여 솔루션이 배포된 리전 내에서 무작위로 선택된 두 개의 가용 영역에 AWS Network Firewall 엔드포인트를 생성합니다.
2단계
CloudFormation 템플릿은 모든 트래픽을 허용하는 기본 네트워크 방화벽 구성을 사용하여 Amazon Simple Storage Service(Amazon S3) 버킷을 생성합니다. 그러면 AWS CodePipeline이 시작되어 다음 단계를 실행합니다.
2a단계
검증 단계: 솔루션은 모의 실행 모드가 활성화된 상태에서 네트워크 방화벽 API를 사용하여 네트워크 방화벽 구성을 검증합니다. 이를 통해 실제 변경을 시도하기 전에 예상치 못한 문제를 찾을 수 있습니다. 이 단계에서는 구성의 모든 참조 파일이 JSON 파일 구조에 존재하는지 여부도 확인합니다.
규칙 그룹 변경 중 하나가 실패하면 규칙 그룹 변경 사항이 원래 상태로 롤백됩니다. 어플라이언스 모드는 Transit Gateway에서 Amazon Virtual Private Cloud(Amazon VPC)로의 연결에 대해 활성화되어 비대칭 트래픽을 방지합니다. 자세한 내용은 Appliance in a shared services VPC를 참조하십시오.
3단계
솔루션은 각 가용 영역마다 Amazon VPC 라우팅 테이블을 생성합니다. 각각의 기본 경로 대상은 네트워크 방화벽의 Amazon VPC 엔드포인트입니다.
4단계
솔루션은 방화벽 서브넷이 포함된 공유 라우팅 테이블을 생성합니다. 기본 경로 대상은 Transit Gateway ID입니다. 이 경로는 CloudFormation 입력 파라미터에 Transit Gateway ID가 제공된 경우에만 생성됩니다.
1단계
AWS CloudFormation 템플릿은 솔루션이 배포된 리전 내에서 무작위로 선택된 가용 영역에 4개의 서브넷이 있는 검사 가상 프라이빗 클라우드(VPC)를 배포합니다.
1a단계
기존 Transit Gateway ID를 제공하는 경우 솔루션은 서브넷 중 2개를 사용하여 VPC의 AWS Transit Gateway Attachment를 생성합니다.
1b단계
솔루션은 다른 2개의 서브넷을 사용하여 솔루션이 배포된 리전 내에서 무작위로 선택된 두 개의 가용 영역에 AWS Network Firewall 엔드포인트를 생성합니다.
2단계
CloudFormation 템플릿은 모든 트래픽을 허용하는 기본 네트워크 방화벽 구성을 사용하여 Amazon Simple Storage Service(Amazon S3) 버킷을 생성합니다. 그러면 AWS CodePipeline이 시작되어 다음 단계를 실행합니다.
2a단계
검증 단계: 솔루션은 모의 실행 모드가 활성화된 상태에서 네트워크 방화벽 API를 사용하여 네트워크 방화벽 구성을 검증합니다. 이를 통해 실제 변경을 시도하기 전에 예상치 못한 문제를 찾을 수 있습니다. 이 단계에서는 구성의 모든 참조 파일이 JSON 파일 구조에 존재하는지 여부도 확인합니다.
규칙 그룹 변경 중 하나가 실패하면 규칙 그룹 변경 사항이 원래 상태로 롤백됩니다. 어플라이언스 모드는 Transit Gateway에서 Amazon Virtual Private Cloud(Amazon VPC)로의 연결에 대해 활성화되어 비대칭 트래픽을 방지합니다. 자세한 내용은 Appliance in a shared services VPC를 참조하십시오.
3단계
솔루션은 각 가용 영역마다 Amazon VPC 라우팅 테이블을 생성합니다. 각각의 기본 경로 대상은 네트워크 방화벽의 Amazon VPC 엔드포인트입니다.
4단계
솔루션은 방화벽 서브넷이 포함된 공유 라우팅 테이블을 생성합니다. 기본 경로 대상은 Transit Gateway ID입니다. 이 경로는 CloudFormation 입력 파라미터에 Transit Gateway ID가 제공된 경우에만 생성됩니다.