네트워크 7계층 보안 적용
네트워크 보안 : 공격 표면을 줄이고 접근제어를 통해 서비스를 보호
호스트 보안 : 내부망 및 호스트 기반의 추가적인 접근제어 보호
애플리케이션 보안 : 웹 공격에 대한 보호 및 가용성에 대한 보호
데이터 보안 : 데이터 보호는 민감한 정보를 안전하게 저장하고, 규정 준수
AWS 네트워크 및 애플리케이션 보호
DDOS 방어, 어플리케이션 위협 보호, 네트워크 방화벽, 네트워크 접근 제어, 네트워크 격리
Stateful
클라이언트-서버 관계에서 서버가 클라이언트의 상태를 보존함을 의미한다.
Statless
클라이언트-서버 관계에서 서버가 클라이언트의 상태를 보존하지 않음을 의미한다.(nacl)
NACL / Security Group
네트워트 접근제어를 수행한다는 점에서는 비슷하다
nacl
-블랙리스트 기반 하이브리드, 화이트리스트 기반 하이브리드 두 가지 방식 모두 가능
-설정에서 최하단 규칙을 모든 트래픽 허용으로 설정하냐 거부로 설정하냐에 따라 달라진다
-하이브리드 방식을 사용하기 때문에 규칙에 우선순위를 부여해야 한다(낮은 순으로 순차적으로 수향)
-가상 방화벽, Subnet 단위, 상태 비저장, Port Allow, Deny 모두 가능
보안그룹
-화이트리스트 방식이다.
-명시적으로 허용한 트래픽에 대해서만 통신을 허가, 그 외는 모두 차단한다.
-규칙에 우선순위를 부여할 필요 없기에 선언된 규칙에 순서는 없다
-가상 방화벽, 인스턴스 단위, 상태 저장, Port Allow 만 가능
AWS WAS 구성
구성 흐름
web ACL 생성 -> 보호할 서비스 연결 -> 규칙 정의
web ACLs
-aws 리소스 지정(CloudFront, ALB, API, G/W),
-규칙 추가를 통해 보호 전략 정의(Amazon managed ruls, Custom rule)
-Web ACL 에 대한 기본 작업 지정(Deny, Allow)
Rule groups
-JSON 포맷의 룰
-재사용 가능한 custom 규칙 저장
-리전 설정
-규칙 우선순위 설정
IP Sets : 규칙 문에 사용되는 IP 주소 및 범위
IP Sets : 규칙 문에 사용되는 정규 표현식 모음