BPA의 영향 평가 및 BPA 모니터링
이 섹션에는 VPC BPA를 켜기 전에 VPC BPA의 영향을 평가하고 VPC BPA를 켠 후에 트래픽이 차단되는지 모니터링하는 방법에 대한 정보가 포함되어 있습니다.
네트워크 액세스 분석기를 사용하여 BPA의 영향 평가
이 섹션에서는 VPC BPA를 활성화하여 액세스를 차단하기 전에 네트워크 액세스 분석기를 사용하여 인터넷 게이트웨이를 사용하는 계정의 리소스를 확인하는 방법을 살펴봅니다. 이 분석을 사용하여 계정에서 VPC BPA를 켜고 트래픽을 차단할 때의 영향을 파악할 수 있습니다.
Network Access Analyzer는 IPv6을 지원하지 않으므로 송신 전용 인터넷 게이트웨이 아웃바운드 IPv6 트래픽에 대한 BPA의 잠재적 영향을 확인하는 데 사용할 수 없습니다.
Network Access Analyzer를 사용하여 수행하는 분석에는 요금이 부과됩니다. 자세한 정보는 네트워크 액세스 분석기 설명서의 요금을 참조하세요.
Network Access Analyzer의 리전별 가용성에 대한 자세한 내용은 Network Access Analyzer 설명서의 제한 사항을 참조하세요.
- AWS Management Console
-
-
https://console.aws.amazon.com/networkinsights/에서 AWS Network Insights 콘솔을 엽니다.
-
Network Access Analyzer를 선택합니다.
-
네트워크 액세스 범위 생성을 선택합니다.
-
VPC 퍼블릭 액세스 차단의 영향 평가를 선택하고 다음을 선택합니다.
-
템플릿은 이미 계정의 인터넷 게이트웨이를 오가는 트래픽을 분석하도록 구성되어 있습니다. 소스 및 대상에서 이를 확인할 수 있습니다.
-
Next(다음)를 선택합니다.
-
네트워크 액세스 범위 생성을 선택합니다.
-
방금 생성한 범위를 선택하고 분석을 선택합니다.
-
분석이 완료될 때까지 기다립니다.
-
분석 결과를 확인합니다. 분석 결과 아래의 각 행에는 패킷이 네트워크에서 계정의 인터넷 게이트웨이를 들어오고 나갈 때 거칠 수 있는 네트워크 경로가 표시됩니다. 이 경우 VPC BPA를 켜고 이러한 분석 결과에 나타나는 VPC 및/또는 서브넷 중 BPA 제외 항목으로 구성된 것이 없는 경우 해당 VPC 및 서브넷으로의 트래픽이 제한됩니다.
-
각 분석 결과를 확인하여 BPA가 VPC의 리소스에 미치는 영향을 파악합니다.
영향 분석이 완료되었습니다.
- AWS CLI
-
-
네트워크 액세스 범위 생성:
aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"
-
범위 분석 시작:
aws ec2 start-network-insights-access-scope-analysis --region us-east-2 --network-insights-access-scope-id nis-id
-
분석 결과 가져오기:
aws ec2 get-network-insights-access-scope-analysis-findings --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1
결과는 계정의 모든 VPC에서 인터넷 게이트웨이를 들어오고 나가는 트래픽을 보여줍니다. 결과는 "분석 결과"로 구성됩니다. "FindingId": "AnalysisFinding-1"은 이것이 분석의 첫 번째 결과임을 나타냅니다. 여러 분석 결과가 있는 경우 각 분석 결과는 VPC BPA를 켜면 영향을 받는 트래픽 흐름을 나타냅니다. 첫 번째 분석 결과는 인터넷 게이트웨이("SequenceNumber": 1)에서 시작된 트래픽이 NACL("SequenceNumber": 2)을 거쳐 보안 그룹("SequenceNumber": 3)으로 전달되고 인스턴스("SequenceNumber": 4)에서 종료된 것을 보여줍니다.
-
분석 결과를 확인하여 BPA가 VPC의 리소스에 미치는 영향을 파악합니다.
영향 분석이 완료되었습니다.
흐름 로그를 사용하여 BPA 영향 모니터링
VPC 흐름 로그는 VPC의 탄력적 네트워크 인터페이스에서 전송되고 수신되는 IP 트래픽에 대한 정보를 수집할 수 있는 기능입니다. 이 기능을 사용하여 VPC BPA가 인스턴스 네트워크 인터페이스에 도달하지 못하도록 차단한 트래픽을 모니터링할 수 있습니다.
흐름 로그 작업의 단계에 따라 VPC에 대한 흐름 로그를 생성합니다.
흐름 로그를 생성할 때 reject-reason 필드가 포함된 사용자 지정 형식을 사용해야 합니다.
흐름 로그를 볼 때 BPA로 인해 ENI에 대한 트래픽이 거부된 경우 흐름 로그 항목에 reject-reason이 BPA로 표시됩니다.
VPC 흐름 로그의 표준 제한 사항 외에도 VPC BPA와 관련된 다음 제한 사항에 유의하세요.
CloudTrail을 사용하여 제외 항목 삭제 추적
이 섹션에서는 AWS CloudTrail을 사용하여 VPC BPA 제외 항목 삭제를 모니터링하고 추적하는 방법을 설명합니다.
- AWS Management Console
-
https://console.aws.amazon.com/cloudtrailv2/의 AWS CloudTrail 콘솔에서 리소스 유형 > AWS::EC2::VPCBlockPublicAccessExclusion을 조회하면 CloudTrail 이벤트 기록의 삭제된 제외 항목을 볼 수 있습니다.
- AWS CLI
-
lookup-events 명령을 사용하여 제외 항목 삭제와 관련된 이벤트를 볼 수 있습니다.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
Reachability Analyzer를 사용하여 연결이 차단되었는지 확인
VPC Reachability Analyzer를 사용하면 VPC BPA 설정을 포함한 지정된 네트워크 구성에서 특정 네트워크 경로에 도달할 수 있는지 여부를 평가할 수 있습니다.
Reachability Analyzer의 리전별 가용성에 대한 자세한 내용은 Reachability Analyzer 설명서의 고려 사항을 참조하세요.
- AWS Management Console
-
- AWS CLI
-
-
소스의 트래픽을 차단하려는 인터넷 게이트웨이의 ID와 대상의 트래픽을 차단하려는 인스턴스의 ID를 사용하여 네트워크 경로를 생성합니다.
aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
-
네트워크 경로에 대한 분석 시작:
aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
-
분석 결과 검색:
aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
-
연결성이 부족한 경우 VPC_BLOCK_PUBLIC_ACCESS_ENABLED가 ExplanationCode인지 확인합니다.
