[AWS] AWS Network Firewall이란? - (1) 개념

2020년 11월, AWS Network Firewall 서비스가 출시되었다.

아직 출시된지 얼마 되지 않은 서비스라, 사용할 수 있는 리전은 몇 되지 않지만 (미국 동부(버지니아 북부), 미국 서부(오레곤) 및 유럽(아일랜드))
곧 한국 리전에서도 쓸 수 있는 날이 올거라 생각하며.. 간단히 정리해보려 한다.

 

AWS Network Firewall은 무엇이냐..

말그대로 네트워크를 보호하는 방화벽이다! (단순)

더 자세히 말하자면 AWS VPC 기반 관리형 방화벽 서비스이다.
(AWS Network Firewall에 대해 잘 이해하려면 먼저 기본 방화벽과 VPC에 대한 개념을 익히고 오길 추천한다.)

 

아직도 모르겠다고? 아래 그림을 먼저 보자.

 

AWS Network Firewall 구조도

위 그림은 Network Firewall의 구조를 아주 간단하게 표현한 구조도이다.

내가 사용자가 되었다고 할 때, 내가 보호하고 싶은 것은 customer subnet에 있는 인스턴스들이다.

따라서 VPC 안에, Network Firewall과 통하는 Firewall endpoint를 놓고
Internet Gateway를 통해 들어오고 나가는 트래픽을 필터링하여 인스턴스를 보호하는 것이다.

Internet Gateway와 인스턴스 사이의 모든 트래픽은 firewall endpoint를 거치게 되며,
사용자는 인스턴스로 들어오길 원하는/원치 않는 트래픽을 허용/차단 할 수 있게 된다.

 

Network Firewall의 패킷 필터링

트래픽을 허용/차단하는 규칙의 집합을 Rule engines라고 부를 수 있다.

Network Firewall은 이 Rule engines를 통해, 들어오고 나가는 패킷을 규칙에 따라 Pass하거나 Drop한다.

 

 

 

 

 

이제 트래픽 흐름을 살펴보며 좀 더 자세히 이해해보자.

AWS Network Firewall 및 워크로드에 대한 트래픽 흐름

아.. 그림이 복잡해졌다.

하지만 쫄지 말자.

우리는 번호가 붙어있는 동그라미만 살펴보며 따라가면 된다.

 

1) Workload에서 트래픽이 나간다.
2) Firewall endpoint에서 AWS Network Firewall로 트래픽이 전달되며, 트래픽에 대한 필터링이 수행된다.
3) Internet Gateway로 전달된다.
4) NAT (네트워크 주소 변환)
5) 외부
6) Workload로 들어가고자 하는 트래픽이 Firewall endpoint를 거친다.
7) Firewall endpoint에서 AWS Network Firewall로 트래픽이 전달되며, 트래픽에 대한 필터링이 수행된다.
8) 트래픽이 Workload로 들어온다.

 

여기서 눈여겨 봐야할 것은 workload에서 나가고, workload로 들어오는 트래픽이 Network Firewall을 거친다는 것이다.

 

즉, workload(내부)와 인터넷 게이트웨이(외부) 사이에 방화벽 엔드포인트를 위치시킴으로써,

VPC의 모든 트래픽이 방화벽을 통해 필터링된다.

 

 

오늘은 여기까지!

굉장히 간단한 그림으로 네트워크 방화벽과 트래픽 흐름에 대해 알아봤는데,,

실제 클라우드 환경에서 우리가 사용하게 될 배포 모델들은 조금 더 복잡하다.

하지만 이 개념이 근-본 of 근-본이 되는 개념이니 확실하게 알아두면 좋을 것 같다.

 

다음 포스팅에서는 이 네트워크 방화벽의 배포 모델(유형)에 대해 알아보겠다!!!