참조 배포

AWS 기반 Microsoft 공개 키 인프라

안전하지 않고 서명되지 않은 네트워크 트래픽 감소

배포 가이드 보기

공개 키 인프라(PKI)는 디지털 인증서를 생성, 관리, 배포, 저장 및 취소합니다. Windows 환경은 디지털 인증서를 사용하여 여러 유형의 연결을 보호합니다. 연결 유형에는 Microsoft Active Directory LDAPS(Secure Sockets Layer를 통한 Lightweight Directory Access Protocol), 인터넷 정보 서비스(IIS) HTTPS 연결, Exchange Server 통신 및 Windows Server Update Services(WSUS)에 대한 조회가 포함됩니다.

Amazon Web Services(AWS) 계정의 Windows 호스팅 PKI를 사용하면 자체 인증서를 유지할 수 있습니다. 이 기능은 안전하지 않고 서명되지 않은 네트워크 트래픽을 줄이는 데 도움이 됩니다. Windows에 PKI 환경을 배포하려면 하나 이상의 Windows 서버에 인증 기관(CA) 역할을 설치하고 구성합니다.

이 Microsoft PKI 솔루션은 루트 CA와 하위 CA를 모두 배포합니다. 루트 CA는 Active Directory 포리스트의 기본 인증 기관 역할을 합니다. 루트 CA에서 생성된 인증서는 하위 CA에서 발급한 서버 및 애플리케이션 인증서에 서명합니다. 솔루션은 자동으로 초기 루트 인증서를 생성한 다음 루트 CA의 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 끕니다. 이 인스턴스는 새 루트 인증서를 생성해야 하는 경우를 제외하고는 오프라인 상태를 유지하므로 루트 인증서의 무결성을 보장하는 데 도움이 됩니다.

이 솔루션은 AWS에서 개발되었습니다.

  •  구축할 내용

  • 이 솔루션은 다음을 설정합니다.

    • 두 가용 영역에 걸쳐 있는 아키텍처*
    • AWS에서 자체 가상 네트워크를 제공하기 위해 AWS 모범 사례에 따라 퍼블릭 및 프라이빗 서브넷으로 구성된 Virtual Private Cloud(VPC)*
    • 퍼블릭 서브넷의 경우:
      • 프라이빗 서브넷의 리소스에 대한 아웃바운드 인터넷 액세스를 허용하기 위한 관리형 네트워크 주소 변환(NAT) 게이트웨이*
      • 퍼블릭 및 프라이빗 서브넷의 EC2 인스턴스에 대한 인바운드 원격 데스크톱 프로토콜(RDP)를 허용하기 위한 Auto Scaling 그룹의 원격 데스크톱 게이트웨이(RD 게이트웨이)*
    • 프라이빗 서브넷의 경우
      • 가용 영역 1에서 오프라인 루트 CA 역할을 하기 위해 Windows를 실행하는 EC2 인스턴스
      • 가용 영역 2에서 하위 CA 역할을 하기 위해 Windows를 실행하는 EC2 인스턴스
    • Active Directory 인증서 서비스(AD CS) 환경을 배포하는 데 도움이 되는 AWS Directory Service*
    • 자격 증명을 저장하기 위한 AWS Secrets Manager
    • CA 배포 프로세스를 자동화하고 생성된 인증서를 저장하기 위한 AWS Systems Manager
    • EC2 인스턴스 및 Systems Manager 자동화 문서가 태스크를 수행할 수 있도록 하기 위한 AWS Identity and Access Management(IAM)

    * 기존 VPC에 솔루션을 배포하는 템플릿에서는 별표로 표시된 구성 요소를 건너뛰고 기존 VPC 구성을 묻는 메시지가 표시됩니다.

  •  배포 방법

  • Microsoft PKI를 배포하려면 배포 안내서의 지침을 따르세요. 배포 프로세스는 30분가량 걸리며 다음 단계를 포함합니다.

    1. 아직 AWS 계정이 없으면 https://aws.amazon.com에서 가입하고 계정에 로그인합니다.
    2. 솔루션을 시작합니다. 다음 2가지 옵션 중에서 선택할 수 있습니다.
    3. 배포를 테스트합니다.

    Amazon은 이 솔루션에서 AWS와 협업하는 AWS 파트너와 사용자 배포 정보를 공유할 수 있습니다.  

    배포 가이드에서 자세한 내용 보기
  •  비용 및 라이선스

  • 이 솔루션 참조 배포를 실행하는 동안 사용되는 AWS 서비스 비용은 고객이 부담해야 합니다. 이 솔루션을 사용하는 데 따르는 추가 비용은 없습니다.

    이 솔루션의 AWS CloudFormation 템플릿에는 사용자 지정할 수 있는 구성 파라미터가 포함되어 있습니다. 인스턴스 유형과 같은 이러한 일부 설정에 따라 배포 비용이 달라집니다. 예상 비용은 사용하는 각 AWS 서비스의 요금 페이지를 참조하세요. 요금은 변경될 수 있습니다.

    이 솔루션은 Microsoft Windows Server를 실행하는 EC2 인스턴스를 배포합니다. AWS에서 Windows Server 라이선스를 제공합니다.

    이 솔루션을 실행하는 동안 사용되는 AWS 서비스 및 유료 타사 라이선스 비용은 고객이 부담해야 합니다. 솔루션 사용에 따른 추가 비용은 없습니다.

    이 솔루션에는 사용자 지정할 수 있는 구성 파라미터가 포함되어 있습니다. 인스턴스 유형과 같은 이러한 일부 설정에 따라 배포 비용이 달라집니다. 예상 비용은 사용하는 각 AWS 서비스의 요금 페이지를 참조하세요. 요금은 변경될 수 있습니다.

    팁: 솔루션 배포 후 관련 비용을 추적할 수 있도록 AWS Cost and Usage Report를 생성하세요. 이 보고서는 계정의 Amazon Simple Storage Service(S3) 버킷에 대한 과금 지표를 제공합니다. 이 보고서는 매월 사용량을 기반으로 한 추정 요금을 제공하고 월말에 데이터를 집계합니다. 자세한 내용은 AWS Cost and Usage Reports란 무엇인가요?를 참조하세요.