AWS 심화 학습 가이드: 공동 책임, 네트워크 및 보안

AWS 핵심 개념 심화 학습 가이드: 공동 책임, 네트워크 및 보안

Subject: AWS 클라우드 컴퓨팅 (기초/핵심)

Topics:

• AWS 공동 책임 모델 (Shared Responsibility Model)
• AWS 네트워크 보안 및 연결 (VPC, NACL, SG, Peering, Endpoint, DX)
• AWS 모니터링, 거버넌스 및 보안 서비스

Summary (전체 요약)

이 학습 가이드는 AWS 클라우드 컴퓨팅의 핵심을 이루는 공동 책임 모델을 명확히 이해하고, 가상 네트워크(VPC) 내의 트래픽 제어 및 연결 규칙을 숙달하는 데 중점을 둡니다. 또한, 클라우드 자원의 성능 모니터링, 감사 및 위협 방어를 위한 핵심 AWS 서비스들의 고유한 역할과 사용 사례를 정리하여, 시험에서 자주 출제되는 서비스 간의 미묘한 차이점을 확실하게 구분할 수 있도록 돕습니다.

Key Concepts (핵심 개념)

• 공동 책임 모델의 명확한 경계:
  • AWS 책임 (클라우드의 보안): 물리적 인프라, 하이퍼바이저, AWS 관리형 서비스(RDS, Lambda 등)의 기반 OS 패치 및 보안.
  • 고객 책임 (클라우드 내의 보안): 데이터 암호화, EC2 게스트 OS 패치, Security Group 및 NACL 관리, IAM을 통한 액세스 권한 관리.

 

• 서버리스 아키텍처의 책임 경감:
  • AWS Lambda와 같은 서버리스 서비스로 마이그레이션하면, 기반 운영 체제(OS) 패치 및 서버 관리 책임이 AWS로 이전되어 고객의 관리 부담이 대폭 줄어듭니다.
• 네트워크 트래픽 제어 순서 (NACL vs. Security Group):
  • NACL은 서브넷 수준에서 **스테이트리스(Stateless)**하게 동작하며, 명시적 거부 규칙을 가집니다.
  • Security Group은 인스턴스 수준에서 **스테이트풀(Stateful)**하게 동작하며, 기본적으로 거부(Implicit Deny)합니다.
  • 처리 순서: 트래픽은 NACL(서브넷)에서 먼저 평가된 후 Security Group(인스턴스)에 도달합니다. NACL의 명시적 거부는 SG의 허용보다 항상 우선합니다.
• VPC 연결의 비전이성 (Non-Transitivity):
  • VPC Peering 연결은 두 VPC를 직접 연결하지만, 전이적(Non-Transitive)으로 작동하지 않습니다. (VPC A → B, B → C 연결이 있어도 A → C 통신은 자동으로 이루어지지 않으며, 별도의 직접 연결이 필요합니다.)
  • 제약 조건: VPC Peering은 두 VPC가 동일하거나 겹치는 CIDR 블록을 가질 경우 설정할 수 없습니다.
• 사설 AWS 서비스 연결 및 하이브리드 연결:
  • VPC Endpoint: VPC 내 사설 서브넷의 리소스가 공용 인터넷을 통하지 않고 S3, DynamoDB 등 AWS 서비스와 비공개로 통신할 수 있게 하는 기능입니다.

    

     
    • AWS Direct Connect (DX): 온프레미스 데이터 센터와 AWS VPC 사이에 공용 인터넷을 우회하는 전용의 물리적 개인 네트워크 연결을 제공합니다.

 

Vocabulary List (주요 용어)

용어정의 및 역할

NACL (Network Access Control List)	서브넷 경계에서 트래픽을 제어하는 스테이트리스 필터. (거부 규칙 명시 가능)
Security Group (SG)	EC2 인스턴스 수준에서 트래픽을 제어하는 스테이트풀 방화벽. (허용 규칙만 명시 가능)
AWS CloudTrail	AWS 계정 내 모든 API 호출 및 사용자 활동을 기록하여 감사 및 규정 준수에 사용되는 서비스.
Amazon CloudWatch	AWS 리소스의 **성능 지표(CPU, 네트워크 I/O)**를 수집하고 알림을 설정하는 모니터링 서비스.
AWS WAF	웹 애플리케이션 계층(Layer 7)에서 SQL Injection, XSS 등의 웹 공격을 차단하는 방화벽.
Amazon Inspector	EC2 인스턴스 및 애플리케이션 코드의 보안 취약점 및 모범 사례 준수 여부를 자동으로 평가하는 서비스.
AWS Config	AWS 리소스의 구성 변경 사항을 지속적으로 기록 및 모니터링하여 규정 준수 여부를 평가하는 거버넌스 서비스.
VPC Endpoint	VPC 내 사설 서브넷의 리소스가 인터넷을 거치지 않고 S3, DynamoDB 등 AWS 서비스에 비공개로 연결할 수 있게 하는 기능.
AWS Direct Connect (DX)	온프레미스 환경과 AWS 간에 전용선을 통한 빠르고 안정적인 연결을 구축하는 서비스.
VPC Peering	두 VPC 간에 사설 라우팅을 통해 트래픽을 직접 전달할 수 있게 하는 연결. (비전이적 속성이 핵심)

Key Questions (핵심 점검 질문)

1. AWS 공동 책임 모델에 따라, 고객이 EC2 인스턴스에서 AWS Lambda로 아키텍처를 마이그레이션할 때, 고객의 책임이 더 이상 아닌 항목은 무엇입니까?
2. NACL에 특정 인바운드 트래픽을 명시적으로 거부하는 규칙이 설정되어 있고, 동시에 Security Group이 해당 트래픽을 허용하도록 설정되어 있을 경우, 최종적인 트래픽 처리 결과는 무엇이며 그 이유는 무엇입니까?
3. VPC Peering 연결 시, A → B와 B → C 연결이 존재할 때 A와 C 간의 통신이 불가능한 이유는 무엇이며, 이를 해결하려면 어떻게 해야 합니까?
4. AWS WAF, Amazon Inspector, AWS GuardDuty는 각각 어떤 보안 문제를 해결하는 데 특화되어 있으며, 이들의 주요 차이점은 무엇입니까?
5. AWS 환경에서 AWS 서비스와의 비공개 통신을 위한 서비스(VPC Endpoint)와 온프레미스 연결을 위한 서비스(AWS Direct Connect)의 목적을 구분하여 설명하십시오.