기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Elastic Load Balancing의 인프라 보안
관리형 서비스인 Elastic Load Balancing은 AWS 글로벌 네트워크 보안으로 보호됩니다. AWS 보안 서비스 및가 인프라를 AWS 보호하는 방법에 대한 자세한 내용은 [AWS 클라우드 보안을](https://aws.amazon.com/security/) 참조하세요. 인프라 보안 모범 사례를 사용하여 환경을 설계하려면 *보안 원칙 AWS Well‐Architected Framework*의 [인프라 보호를](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) 참조하세요 AWS .
AWS 에서 게시한 API 호출을 사용하여 네트워크를 통해 Elastic Load Balancing에 액세스합니다. 클라이언트는 다음을 지원해야 합니다.
+ Transport Layer Security(TLS). TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)와 같은 완전 전송 보안(PFS)이 포함된 암호 제품군. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.
## 네트워크 격리
Virtual Private Cloud(VPC)는 AWS 클라우드에서 논리적으로 격리된 자체 영역의 가상 네트워크입니다. 서브넷은 VPC의 IP 주소 범위입니다. 로드 밸런서를 생성할 때 로드 밸런서 노드에 대해 하나 이상의 서브넷을 지정할 수 있습니다. VPC의 서브넷에 EC2 인스턴스를 배포하고 로드 밸런서에 등록할 수 있습니다. VPC 및 서브넷에 대한 자세한 내용은 [Amazon VPC 사용 설명서](https://docs.aws.amazon.com/vpc/latest/userguide/)를 참조하세요.
VPC에서 로드 밸런서를 생성하면 인터넷에 연결되거나 내부 로드 밸런서가 될 수 있습니다. 내부 로드 밸런서는 로드 밸런서를 위한 VPC에 액세스하여 클라이언트의 요청만 라우팅할 수 있습니다.
로드 밸런서는 프라이빗 IP 주소를 사용하여 등록된 대상으로 요청을 보냅니다. 따라서 대상이 퍼블릭 IP 주소 없이도 로드 밸런서에서 요청을 수신할 수 있습니다.
프라이빗 IP 주소를 사용하여 VPC에서 Elastic Load Balancing API를 호출하려면 AWS PrivateLink을(를) 사용합니다. 자세한 내용은 [인터페이스 엔드포인트를 사용하여 Elastic Load Balancing에 액세스 (AWS PrivateLink)](load-balancer-vpc-endpoints.md) 단원을 참조하십시오.
## 네트워크 트래픽 제어
로드 밸런서를 사용할 때 네트워크 트래픽 보안을 위해 다음 옵션을 고려하십시오.
+ 보안 리스너를 사용하여 클라이언트와 로드 밸런서 간의 암호화된 통신을 지원합니다. Application Load Balancer는 HTTPS 리스너를 지원합니다. Network Load Balancer는 TLS 리스너를 지원합니다. Classic Load Balancer는 HTTPS 및 TLS 리스너를 모두 지원합니다. 로드 밸런서에 대해 미리 정의된 보안 정책 중에서 선택하여 애플리케이션에서 지원하는 암호 모음 및 프로토콜 버전을 지정할 수 있습니다. AWS Certificate Manager (ACM) 또는 AWS Identity and Access Management (IAM)을 사용하여 로드 밸런서에 설치된 서버 인증서를 관리할 수 있습니다. SNI(서버 이름 표시) 프로토콜을 사용하여 단일 보안 리스너를 통해 여러 보안 웹 사이트를 제공할 수 있습니다. 둘 이상의 서버 인증서를 보안 리스너와 연결하면 로드 밸런서에 대해 SNI가 자동으로 활성화됩니다.
+ 특정 클라이언트의 트래픽만 허용하도록 Application Load Balancer 및 Classic Load Balancer에 대한 보안 그룹을 구성합니다. 이러한 보안 그룹은 리스너 포트에서 클라이언트로부터의 인바운드 트래픽과 클라이언트로의 아웃바운드 트래픽을 허용해야 합니다.
+ 로드 밸런서로부터의 트래픽만 허용하도록 Amazon EC2 인스턴스에 대한 보안 그룹을 구성합니다. 이러한 보안 그룹은 리스너 포트와 상태 확인 포트에서 로드 밸런서로부터의 인바운드 트래픽을 허용해야 합니다.
+ 자격 증명 공급자를 통해 또는 회사 자격 증명을 사용하여 사용자를 안전하게 인증하도록 Application Load Balancer를 구성합니다. 자세한 내용은 [Application Load Balancer를 사용하여 사용자 인증](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-authenticate-users.html)을 참조하세요.
+ Application Load Balancer와 함께 [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)를 사용하여 웹 ACL(웹 액세스 제어 목록)의 규칙에 따라 요청을 허용하거나 차단합니다.