[AWS] AWS Network Firewall이란? - (2.1) 분산형 배포모델

지난번에는 AWS Network Firewall의 개념에 대해 알아보았다.

지난번 포스팅을 안보았다면 or 개념을 잘 모르겠다면 이해를 위해 보고오자!

https://minjoos.tistory.com/9

[AWS] AWS Network Firewall이란? - (1) 개념

 

오늘은 AWS Network Firewall의 다양한 배포 모델 중 분산형 모델에 대해 알아볼 것이다.

 

Network Firewall의 배포 모델은 크게 세 가지로 나눌 수 있다.

1) 분산형

2) 중앙 집중형

3) 결합형

 

이 중에서 오늘은 1) 분산형!

1) 분산형

분산형 Network Firewall 

전체적인 구조부터 차근차근 이해해보자.

맨 위에는 외부와 통하는 트래픽을 뜻하는 구름 모양 이모지가 있고..

그 아래에는 한 리전 안에 총 네 개의 VPC(A~D)가 존재한다.
(위 VPC는 Network Firewall에 의해 보호되고 있으므로 Protected VPC라고 부른다.) 

 

각 VPC 안에는 Firewall Subnet과 Protected Subnet, 총 2개의 서브넷이 있다.

Firewall Subnet에는 Firewall endpoint가 존재한다. 그냥 Network Firewall이라고 이해하면 쉽다.

Protected Subnet에는 Workload가 존재한다. 이 workload는 우리가 보호하고 싶은 것이라고 생각하면 된다. (ex. 인스턴스)

 

그래서 분산형 모델이 뭔데?

 

위 그림처럼 각 VPC안에 Network Firewall이 따로 따로 존재하는 것이다.

이렇게 구성할 경우, 각 방화벽 마다 다른 정책을 가질 수 있어 워크로드에 따른 접근제어를 다르게 할 수 있다.

또한 방화벽을 독립적으로 관리할 수 있으므로 구성 오류의 가능성이 줄어들고, 서로 영향을 미치는 범위가 제한되는 것이 장점이다.

 

이 분산형 모델이 활용되는 유형은 크게 두가지로 나눌 수 있다.

첫째, 워크로드와 인터넷 게이트웨이와의 트래픽을 보호할 수 있다.

분산형 배포 모델

위 그림처럼 네트워크 방화벽은 맨 위의 인터넷 게이트웨이와 아래의 워크로드 사이에 위치하여
그 사이의 트래픽을 보호한다.

 

 

둘째, AWS 서비스와 인터넷 게이트웨이 간의 트래픽을 보호한다.

 

분산형 배포 모델

위 그림은 이전 그림에서 protected subnet 안의 구성이 바뀌었다.

protected subnet 안에 ALB(Application Load Balancer), NAT Gateway가 들어가 있고, 
워크로드는 private subnet으로 들어갔다.

 

여기서 집중할 것은 네트워크 방화벽이 이번에는
AWS 서비스들(protected subnet안의 ALB, NAT Gateway 등)과 인터넷 게이트웨이 사이에 위치하여
그 사이의 트래픽을 보호한다는 것이다.

 

---

 

이렇게 워크로드를 보호하기 위해
워크로드 - 인터넷 게이트웨이 사이에 위치시키거나
워크로드와 통신하는 AWS 서비스 - 인터넷 게이트웨이 사이에 위치시키는 등

다양한 형태로 네트워크 방화벽을 구성할 수 있다.

 

이 밖에도 훨씬 다양한 구성으로 네트워크 방화벽을 구성할 수 있을 것이다.

 

형태야 어찌됐건,

분산형 배포 모델은 보호를 원하는 VPC 안에 직접 Firewall Subnet을 배치하는 것이라는 것!

 

 

 

 

 

다음 포스팅에서는 네트워크 방화벽의 두번째 배포 모델인,

2) 중앙 집중형 배포 모델에 대해 포스팅하겠다.

 

 

오늘은 여기까지!