Firewall Manager에서 사용량 감사 보안 그룹 정책 사용 - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Firewall Manager에서 사용량 감사 보안 그룹 정책 사용

이 페이지에서는 Firewall Manager 사용량 감사 보안 그룹 정책이 작동하는 방식을 설명합니다.

AWS Firewall Manager 사용량 감사 보안 그룹 정책을 사용하여 조직에서 사용되지 않는 보안 그룹 및 중복 보안 그룹을 모니터링하고 선택적으로 정리를 수행합니다. 이 정책에 대해 자동 문제 해결을 활성화하면 Firewall Manager에서 다음을 수행합니다.

  1. 해당 옵션을 선택한 경우 중복 보안 그룹을 통합합니다.

  2. 해당 옵션을 선택한 경우 사용하지 않는 보안 그룹을 제거합니다.

다음과 같은 리소스 유형에 사용 감사 보안 그룹 정책을 적용할 수 있습니다.

  • Amazon VPC 보안 그룹

콘솔을 사용한 사용 감사 보안 그룹 정책 생성에 대한 지침은 사용 감사 보안 그룹 정책 생성을 참조하세요.

Firewall Manager가 중복 보안 그룹을 탐지하고 해결하는 방법

보안 그룹을 중복 보안 그룹으로 간주하려면 보안 그룹에 정확히 동일한 규칙이 설정된 상태여야 하며 보안 그룹이 동일한 Amazon VPC 인스턴스에 있어야 합니다.

중복 보안 그룹 세트의 문제를 해결하려면 Firewall Manager는 해당 세트의 보안 그룹 중에서 유지할 보안 그룹 하나를 선택한 다음, 해당 보안 그룹을 세트 내의 다른 보안 그룹과 연결된 모든 리소스에 연결합니다. 그런 다음 Firewall Manager는 연결된 리소스에서 다른 보안 그룹을 분리하여 사용하지 않게 합니다.

참고

사용되지 않는 보안 그룹을 제거하도록 선택한 경우 Firewall Manager는 다음에 이 작업을 수행합니다. 그러면 중복 집합에 있는 보안 그룹이 제거될 수 있습니다.

Firewall Manager가 사용되지 않는 보안 그룹을 탐지하고 해결하는 방법

Firewall Manager는 다음 두 가지가 모두 참인 경우 보안 그룹을 사용하지 않는 것으로 간주합니다.

  • 보안 그룹이 Amazon EC2 인스턴스 또는 Amazon EC2 탄력적 네트워크 인터페이스에서 사용되지 않습니다.

  • Firewall Manager가 정책 규칙 기간에 지정된 시간(분) 내에 이에 대한 구성 항목을 수신하지 못했습니다.

정책 규칙 기간에는 기본 설정이 0분이지만 최대 365일(525,600분)까지 시간을 늘려 새 보안 그룹을 리소스와 연결할 시간을 확보할 수 있습니다.

중요

기본값인 0 이외의 시간(분)을 지정하는 경우 AWS Config에서 간접 관계를 활성화해야 합니다. 그렇지 않으면 사용량 감사 보안 그룹 정책이 의도한 대로 작동하지 않습니다. AWS Config의 간접 관계에 대한 자세한 내용은 AWS Config 개발자 안내서AWS Config의 간접 관계를 참조하세요.

Firewall Manager는 규칙 설정에 따라 계정에서 사용하지 않는 보안 그룹을 삭제하여 문제를 해결합니다. Firewall Manager가 보안 그룹을 삭제할 수 없는 경우 정책을 준수하지 않는 것으로 표시됩니다. Firewall Manager는 다른 보안 그룹에서 참조한 보안 그룹을 삭제할 수 없습니다.

문제 해결 시기는 기본 기간 설정 또는 사용자 지정 설정을 사용하는지 여부에 따라 달라집니다.

  • 기본값인 0으로 설정된 기간 - 이 설정을 사용하면 Amazon EC2 인스턴스 또는 탄력적 네트워크 인터페이스에서 보안 그룹을 사용하지 않는 즉시 사용되지 않는 것으로 간주됩니다.

    이 0 기간 설정의 경우 Firewall Manager는 보안 그룹을 즉시 문제 해결합니다.

  • 0보다 긴 기간 - 이 설정을 사용하면 Amazon EC2 인스턴스 또는 탄력적 네트워크 인터페이스에서 보안 그룹을 사용하지 않고 Firewall Manager가 지정된 시간(분) 내에 구성 항목을 받지 못한 경우 미사용으로 간주됩니다.

    0이 아닌 기간 설정의 경우 Firewall Manager는 24시간 동안 사용되지 않는 상태로 유지된 후 보안 그룹을 문제 해결합니다.

기본 계정 사양

콘솔을 통해 사용 감사 보안 그룹 정책을 생성할 때 Firewall Manager는 지정된 계정 제외 및 기타 모든 계정 포함을 자동으로 선택합니다. 그런 다음 이 서비스는 제외할 목록에 Firewall Manager 관리자 계정을 넣습니다. 이 방법이 권장되는 접근 방식이며 이렇게 하면 Firewall Manager 관리자 계정에 속한 보안 그룹을 수동으로 관리할 수 있습니다.