SEC05-BP01 네트워크 계층 생성

동일한 연결 요구 사항을 공유하는 구성 요소를 계층으로 그룹화합니다. 예를 들어 인터넷에 액세스할 필요가 없는 Virtual Private Cloud(VPC)의 데이터베이스 클러스터는 인터넷에 연결되는 경로가 없는 서브넷에 배치해야 합니다. VPC 없이 운영되는 서버리스 워크로드의 경우, 마이크로서비스를 사용한 유사한 계층화 및 세분화를 통해 동일한 목표를 실현할 수 있습니다.

연결성 요구 사항을 공유하는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, Amazon Relational Database Service(Amazon RDS) 데이터베이스 클러스터, AWS Lambda 함수와 같은 구성 요소를 서브넷으로 구성된 계층으로 분할할 수 있습니다. 예를 들어 인터넷에 액세스할 필요가 없는 VPC의 Amazon RDS 데이터베이스 클러스터는 인터넷에 연결되는 경로가 없는 서브넷에 배치해야 합니다. 이러한 계층적 제어 방식은 의도하지 않은 액세스를 허용할 수 있는 단일 계층 구성 오류로 인한 영향을 완화합니다. Lambda의 경우, VPC에서 함수를 실행하여 VPC 기반 제어를 활용할 수 있습니다.

수천 개의 VPC, AWS 계정, 온프레미스 네트워크를 포함할 수 있는 네트워크 연결의 경우 다음을 사용해야 합니다. AWS Transit Gateway. AWS Transit Gateway는 스포크처럼 작동하는 모든 연결된 네트워크 간에 트래픽이 라우팅되는 방식을 제어하는 허브 역할을 합니다. Amazon Virtual Private Cloud와 AWS Transit Gateway 간의 트래픽은 AWS 프라이빗 네트워크에 유지되므로 DDoS(Distributed Denial of Service) 공격과 같은 외부 위협 벡터 그리고 SQL 명령어 삽입, 교차 사이트 스크립팅, 교차 사이트 요청 위조, 손상된 인증 코드 남용과 같은 일반적인 악용을 줄입니다. AWS Transit Gateway 리전 간 피어링은 하나의 장애 지점 또는 대역폭 병목 없이 리전 간 트래픽을 암호화합니다.

이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준: 높음

구현 가이드

리소스

관련 문서:

관련 동영상:

관련 예시: