AWS 에서 제공하는 네트워크 보안 기능 중 가장 많이 사용되고 있는 Security Group 은 AWS 클라우드 환경에 있어 아주 중요한 네트워크 보안 기능을 제공하고 있습니다. On-Premise 에서 사용하는 네트워크 방화벽과 비교하면 제공하는 기능이 비슷하긴 하지만 다른 점도 많은데요. Security Group 은 몇가지 단점에도 불구하고 여전히 많은 AWS 사용자들이 네트워크 트래픽 제어를 위해 적극적으로 사용하고 있는 기능 중 하나입니다.
이런 Security Group 을 조직에서 좀 더 체계적으로 관리할 수 있는 기능이 AWS Firewall Manager 에 새롭게 추가가 되었습니다.
AWS Firewall Manager 는 AWS 에서 제공하는 보안 관리 기능 중 하나로 기존에는 조직에서 사용하는 AWS WAF 의 WebACL 과 AWS Shield 설정을 통합 관리하는데 주로 사용이 되었었는데요. 이번에 Security Group 까지 지원하게 됨으로써 다수의 AWS 계정을 사용하는 조직에서 좀 더 효율적으로 Security Group 을 운영하는 것이 가능해졌습니다.
AWS Firewall Manager 사용을 위한 사전 조건
AWS Firewall Manager 를 사용하기 위해서는 반드시 아래의 3가지 조건을 만족하여야 합니다.
- 사용하는 계정이 AWS Organizations 서비스에 등록되어 있어야 하며 Organizations 는 “모든기능” 이 활성화되어 있어야 합니다.
- AWS Firewall Manager는 AWS 조직의 마스터 계정과 연결되거나 적절한 권한을 가진 멤버 계정과 연결되어야 합니다.
- Firewall Manager와 연결하는 계정을 Firewall Manager 관리자 계정이라고 합니다
3. AWS Config 가 활성화되어 있어야 합니다.
Firewall Manager 에서 제공하는 Security Group 의 관리 기능은 크게 3가지입니다.
- 공통 보안 그룹 정책(Common Security Group)
: 가장 일반적인 Security Group 관리 정책입니다. 공통 보안 그룹 관리 정책을 사용하시면 조직내의 Security Group 에 대한 통합 관리가 가능합니다. Firewall Manager 의 Security Policy 메뉴에서 아래와 같이 Security Group Policy Type 을 선택 후 Next 를 클릭하면
아래와 같은 메뉴가 나타나게 되는데 보시는 것처럼 3가지 메뉴는 첫번째 메뉴는 이미 선택되어 있는 상태이며 2가지 옵션을 더 선택하실 수 있습니다.
- Associate the primary security group to every resource within the policy scope
: 관리자가 Firewall Manager 에서 지정한 보안 그룹을 Policy Scope 에서 지정한 모든 리소스에 연결합니다. - Identify and revert any local changes made to the security group rules created by this policy
: 로컬 사용자가 임의로 변경한 내용을 식별하고 복제본 보안 그룹으로 되돌립니다. - Disassociate any other security groups from the AWS resources within the policy scope
: 정책 범위 내에 있는 AWS 리소스에서 다른 보안 그룹의 연결을 해제합니다.
그리고 정책 설정 하단에 아래와 같은 라디오 버튼의 메뉴를 선택하실 수 있습니다.
- Identity resources that don’t comply with the policy rules, but don’t auto remediate.
: Firewall Manager 에서 생성한 보안 그룹의 정책을 준수하지 않는 리소스를 식별하지만 자동 교정은 하지 않습니다. - Apply policy rules and auto remediate any noncompliant resources.
: Firewall Manager 에서 생성한 보안 그룹의 정책을 준수하지 않는 리소스를 식별하고 자동 문제 해결을 수행합니다.
2. 컨텐츠 감사 보안 그룹 정책(Auditing and enforcement of security group rules)
: 컨텐츠 감사 보안 그룹 정책을 사용하시면 조직의 보안 그룹에서 사용 중인 규칙을 확인하고 관리할 수 있습니다. 콘텐츠 감사 보안 그룹 정책을 공통 보안 그룹 정책과 동일한 리소스 유형에 적용할 수 있으며 보안 그룹 자체에도 적용할 수 있습니다. 콘텐츠 감사 보안 그룹 정책은 정책에서 정의한 범위에 따라 AWS 조직에서 사용 중인 고객이 생성한 모든 보안 그룹에 적용됩니다.
컨텐츠 감사 보안 그룹 정책(Auditing and enforcement of security group rules)을 선택하시면 사용 가능한 Policy Rule 이 아래와 같이 나타납니다.
- Allow only the rules defined in the audit security groups
: Firewall Manager 에서 정의한 보안 그룹 정책만을 허용합니다. - Deny the use of any rules defined in the audit security group.
: Firewall Manager 에서 정의한 보안 그룹 정책은 사용을 차단합니다.
컨텐츠 감사 보안 그룹 정책의 경우 자동 문제 해결 옵션이 비활성화되어 있는 상태이며 정책 설정 단계에서는 옵션을 변경할 수 없습니다.
3. 사용 감사 보안 그룹 정책(Auditing and cleanup of unused and redundant security groups)
: 사용 감사 보안 그룹 정책은 사용하시면 조직에서 사용되지 않는 보안 그룹 및 중복 보안 그룹을 모니터링하고 선택적으로 정리를 수행합니다. 이 정책에 대해 자동 문제 해결을 활성화하면 Firewall Manager는 해당 옵션을 선택한 경우 먼저 중복 보안 그룹을 통합한 다음, 해당 옵션을 선택한 경우 사용되지 않는 보안 그룹을 제거합니다.
정책의 사용을 위해 아래 화면의 옵션 중 최소 1개 이상을 선택하여야 합니다.
- Security groups within this policy scope must be used by at least one resource.
: 감사 대상 보안 그룹이 최소 1개 이상의 리소스에 연결되어 있어야 합니다. - Security groups within this policy scope must be unique.
: 감사 대상 보안 그룹은 반드시 고유한 값이어야 합니다.
이렇게 옵션을 지정하고 난 후에 “Policy Action” 을 지정하실 수 있습니다.
3가지의 각 정책 옵션을 설정하고 나면 공통적으로 아래의 화면과 같이 해당 정책이 적용될 사용자의 계정과 리소스를 지정하여야 합니다.
이 항목에서 정책의 적용 대상 계정과 리소스까지 설정하면 Firewall Manager 를 이용하여 Security Group 의 중앙 관리가 가능해집니다.
제한 사항
- Fargate 서비스 유형을 사용하여 생성한 Amazon EC2 탄력적 네트워크 인터페이스에 대한 보안 그룹 업데이트는 지원되지 않습니다. 하지만 Amazon EC2 서비스 유형을 사용하여 Amazon ECS 탄력적 네트워크 인터페이스에 대한 보안 그룹을 업데이트할 수 있습니다.
- Amazon ECS 탄력적 네트워크 인터페이스 업데이트는 롤링 업데이트(Amazon ECS) 배포 컨트롤러를 사용하는 Amazon ECS 서비스에 대해서만 가능합니다. CODE_DEPLOY 또는 외부 컨트롤러와 같은 다른 Amazon ECS 배포 컨트롤러의 경우 현재 Firewall Manager는 탄력적 네트워크 인터페이스를 업데이트할 수 없습니다.
- 현재 Firewall Manager는 Elastic Load Balancing 로드 밸런서, Application Load Balancer, 또는 Network Load Balancer에 대한 탄력적 네트워크 인터페이스의 보안 그룹 업데이트를 지원하지 않습니다.
감사합니다.
