보안 해볼까

개인적으로 해당 내용을 다루기 전, 먼저 AWS 인프라 구조를 대략적으로 보고 하나씩 공부하며 이해하는것이 편하다.

아래와 같이 구조를 한번 보고, 세부적인 서비스에 대해 간략하게 알아본다. (각 항목에 대한 자세한 내용은 추후 다루도록 한다.)

AWS Network Service

1. AWS VPC

VPC는 Virtual Private Cloud의 약자로, AWS 클라우드 내 논리적으로 독립된 섹션을 제공하여 사용자가 정의한 가상 네트워크 상에서 다양한 AWS 리소스를 실행할 수 있도록 해준다.

2. AWS VPN

VPN은 Virtual Private Network의 약자로, 공용 인터넷을 통해 가상의 사설 네트워크를 구성하여 프라이빗 통신을 할 수 있도록 제공한다.

(AWS에서 제공하는 VPN 서비스에는 Site-to-Site VPN과 Client VPN이 있다.)

3. ELB (Elastic Load Balancing)

AWS에서 제공하는 Load Balancing 기술이며, 서비스 대상 시스템(ex. EC2)에 데이터를 분산하여 전달하는 역할을 수행한다.

Load Balancer
https://teacheryoon.tistory.com/16

4. AWS PrivateLink

퍼블릭 인터넷에 데이터가 노출되지 않도록 하며 내부 네트워크를 통해 AWS 서비스와 On-Premise 간에 안전한 비공개 연결을 제공한다.

5. Route 53

AWS에서 제공하는 관리형 DNS Service로 도메인 질의에 대한 응답을 처리한다.

Route 53 Resolver 기능을 사용하면 Hybrid Cloud 환경에서 On-Premise와 AWS 간 도메인 질의가 가능하다.

6. AWS 전송 게이트웨이

VPC나 On-Premise 등의 네트워크를 단일 지점으로 연결할 수 있도록 해주는 Routing Service이다.

7. AWS Direct Connect

데이터 센터, 본사 사무실, Co-Location 환경과 같은 장소에서 AWS와의 전용 네트워크 연결을 제공하는 전용선 서비스다.

8. AWS CloudFront - CDN

AWS에서 제공하는 CDN 서비스로, CloudFront는 전 세계에서 216개의 Edge POP을 두고 AWS 글로벌 네트워크를 통해 콘텐츠를 Caching하여 서비스를 제공한다.

9. AWS Global Accelerator

로컬 또는 글로벌 사용자를 대상으로 Application의 가용성과 성능을 개선할 수 있는 서비스이며, AWS의 글로벌 네트워크를 통해 User에서 Application으로 이어진 경로를 최적화하여 트래픽의 성능을 개선한다.

10. 네트워크 보안

AWS의 네트워크 기반의 보안 기능으로는 Security Group, Network ACL, WAF가 있다.

# 참고

해당 내용은 '따라하며 배우는 AWS 네트워크 입문' 책을 읽으며 필요한 부분만 정리한 내용입니다.

클라우드(Cloud)

인터넷을 통해서 whenever, wherever 원하는 만큼의 IT 리소스를 사용할 수 있도록 해주는 서비스를 말한다.

클라우드 서비스 종류

클라우드의 종류는 크게 4가지로 분류할 수 있다.

1. IaaS(Infrstructure as a Service)

- 기본적인 IT 자원(서버, 네트워크, 스토리지)을 클라우드 사업자가 제공한다.

- 사용자는 가상 서버에 필요한 프로그램을 설치하고 사용한다. (OS 등 직접 설치)

2. PaaS(Platform as a Service)

- IT 자원 외 OS, 개발에 필요한 미들웨어와 런타임을 클라우드 사업자가 제공한다.

- 사용자는 제공받은 환경에서 개발에 집중한다. (개발자의 경우, 코드만 업로드해서 사용)

3. Serverless 플랫폼

- Application 개발에 필요한 대부분을 클라우드 사업자가 제공한다.

- 사용자는 개발에만 집중한다.

4. SaaS(Software as a Service)

- 리소스 제공 및 다양한 지원을 클라우드 사업자가 제공한다.

- Application을 바로 사용할 수 있도록 해주는 서비스이다. (사용자는 서버의 리소스 신경쓸 필요 없음)

Cf) PaaS와 Serverless 플랫폼의 차이

- PaaS: 실제 사용자 수가 아닌, 결제한 만큼의 요금을 지불해야 한다.

(사용자가 10명이든 1000명이든 상관없이 결제한 만큼의 요금 지불, IaaS도 마찬가지)

- Serverless: 실제 사용자 수에 따라 요금을 지불해야 한다.

(사용자가 없으면 자원 할당하지 않으며, 실제 사용한 자원에 대해서만 요금 지불)

클라우드 구현 모델

1. Public Cloud

- Cloud Service 제공 업체가 운영, 관리한다.

- 사용자는 해당 클라우드의 리소스 사용한다. (ex. AWS에서 서버, 가상머신 등 제공받아 사용)

2. Private Cloud

- 사용자가 자신의 On-Premise 환경에 클라우드 플랫폼을 구축하여 직접 사용한다.

- 특정 기업이나 사용자만을 대상으로하며, 데이터는 기업 내부에 저장한다.

3. Hybrid Cloud

- On-Premise와 Public Cloud 모두에 서비스하는 모델이다.

- On-Premise 환경에서도 Public Cloud와 유사한 기능을 사용할 수 있다.

AWS 글로벌 인프라(AZ, Region, Edge, Backbone Network)

1. AZ(Availability Zone, 가용 영역)

- AZ는 한 개 이상의 데이터 센터들의 모음을 말한다.

- 각 데이터 센터들은 분산되어 있으며, 초고석 광통신 전용망으로 연결되어 있다.

2. Region

- 지리적인 영역 내에서 격리되고 물리적으로 분리된 여러 개의 가용 영역(AZ)의 모음을 말한다.

- 리전은 최소 2개의 AZ로 구성된다.

3. Edge (엣지, Edge POP)

- 외부 인터넷과 AWS 네트워크망을 연결하는 별도의 센터를 말한다.

- Edge Location과 Regional Edge Cache로 구성된다.

- CloudFront와 같은 CDN 서비스의 데이터 캐시 기능을 제공한다.

- CloudFront, Direct Connect, Route 53, AWS Shield, AWS Global Accelerator가 Edge에서 동작한다.

4. Backbone Network

- AWS 글로벌 네트워크망과 연결하며, 중국 리전을 제외한 모든 AWS 리전과 연결된다.

컴퓨팅 서비스(EC2, Auto Scaling, AWS Lambda)

1. EC2(Elastic Compute Cloud)

- 물리 환경의 컴퓨터처럼 컴퓨팅 리소스를 제공하는 서비스다.

- 가상 머신으로 제공되며 인스턴스라고 불린다.

2. Auto Scaling

- EC2 인스턴스의 조건에 따라 자동으로 서버를 추가, 제거하는 서비스다.

3. AWS Lambda (Serverless Computing)

- 프로그램을 실행하는 컴퓨팅 엔진이다.

- 람다가 있기 때문에 사용자는 코드만으로 서비스를 실행할 수 있다.

스토리지 서비스(EBS, S3)

1. EBS(Elastic Block Store)

- 가용 영역 내의 EC2 인스턴스에 연결되어 사용할 수 있는 Block Storage를 말한다.

2. S3(Simple Storage Service)

- 객체 기반의 무제한 파일을 저장할 수 있는 Storage를 말한다.

- 사용자는 URL을 통해 파일을 사용할 수 있다.

데이터베이스 서비스(Amazon RDS, Amazon DynamoDB)

1. Amazon RDS(Relational Database Service)

- Relational DB를 이용할 수 있는 서비스다.

- DB 설정, 패치, 백업 등 시간 소모적인 관리 작업을 AWS에서 처리한다.

2. Amazon DynamoDB

- 어떠한 규모에서도 10ms 미만의 성능을 제공하는 key-value 및 NoSQL DB 서비스다.

- 대규모의 데이터 저장 및 처리를 할 수 있다. 

# 참고

해당 내용은 '따라하며 배우는 AWS 네트워크 입문' 책을 읽으며 필요한 부분만 정리한 내용입니다.

Load Balancer가 무엇인지 정의를 내리기 전, Client 요청에 응답하는 Server를 생각해본다.

Client가 한명일 경우, Server는 Client의 요청에 응답하는데 무리가 없을 것이다.

하지만 한명이 아닌 수백, 수천만명일 경우, Server는 모든 Client의 요청에 응답해줄 수 없게된다.

(정확히는 모든 Request에 대해 Response 하려고 하지만, 과부하로 인해 리소스가 소모되어 장애가 발생하게 된다.)

이런 문제를 해결하기 위한 방법으로 Load Balancing을 사용하는 것이다.

즉 Load Balancer란, Client의 요청을 다수의 자원(ex. Server)에 균등하게 작업을 나누어주는 역할을 하는 것이다.

부하 분산, 로드 밸런싱(Load Balancing)

위에서 언금한 것처럼 서버에 트래픽이 몰릴 경우, 서버는 모든 사용자들에게 응답을 해주다가 한계에 도달하여 장애 상황이 발생하게 될 수 있다.

이러한 상황을 방지할 뿐만아니라 응답 시간을 줄이고 서버의 효율을 높이기 위해 여러대의 자원(ex. Server)에게 균등하게 작업을 나누어(트래픽을 분산시켜) 진행하게 할 수 있는데, 이러한 기술을 Load Balancing 이라고 한다.

서버에 많은 트래픽이 몰리는 서비스를 제공할 경우, 로드 밸런싱은 필수적이다.

서버의 성능을 향상시키는 방법에는 Scale-Up과 Scale-Out이 있는데, Load Balancing은 Scale-Out 방식을 사용한다.

Scale-Up: 하드웨어 성능을 올리는 방법
Scale-Out: 여러개의 자원(ex.Server)이 나눠서 일을 하는 방법

Load Balancer의 이중화

아무리 비싸고 좋은 장비라도 안정적인 네트워크 환경 구성을 위해서는 장애 상황에 대비하기위해 이중화 구성이 필요하다. (즉, 장애 상황을 최소화하기 위해 대기상태인 Standby Load Balancer를 둔다.)

아래 그림처럼 Active Load Balancer와 Standby Load Balancer가 HeartBeat를 주고받으며 상태를 확인한다.

만약, Active Load Balancer의 장애 발생 시, Failover가 발생하여 Standby Load Balancer가 Active상태로 변경된다.

(Standby Load Balancer가 Active Load Balancer가 되어 트래픽을 처리하게 된다.)

IGP(Interior Gateway Protocol)

AS 내에서 사용되는 라우팅 프로토콜을 뜻한다.

Distance Vector Routing을 이용해 최적의 경로를 찾는 프로토콜로 RIP, IGRP, OSPF 등이 있다.

AS(Autonomous System)
한 회사나 기업 또는 단체를 뜻한다.

RIP(Routing Information Protocol)

Distance(거리)와 Vector(방향)를 이용해 최적의 경로를 찾는 프로토콜로, Hop Count를 기준으로 최적의 경로를 찾는 프로토콜이다.(가장 낮은 홉 카운트가 가장 좋은 경로)

오직 홉 카운트에만 의존하기 때문에 회선의 속도, 신뢰도 등은 고려하지 않는다. (소규모 네트워크 상에서 효율이 좋다.)

Router에서 15개 이상의 Router를 거치게 되는 목적지의 경우 데이터를 보낼 수 없다.

아래와 같이 라우팅 테이블이 구성되어 있을 때, 각 항목별 의미하는 바는 다음과 같다.

1) R : RIP로 찾아낸 길 (C는 Router에 연결되어있는 경로)

2) 111.111.111.0/24 : Destination Network

3) 110 : Distance 값

4) 1 : Metric 값 (해당 경로에 대한 비용, RIP는 Hop Count)

5) 111.111.111.111 : RIP를 이용해 찾은 111.111.111.0 네트워크는 111.111.111.111(Serial 0)을 통해 갈 수 있음

IGRP(Interior Gateway Routing Protocol)

Distance(거리)와 Vector(방향)를 이용해 최적의 경로를 찾는 프로토콜로, Hop Count 제한이 없어 RIP 보다는 큰 네트워크에 적용이 가능하다. (하지만 VLSM은 지원하지 않는다.)

IGRIP는 아래 5가지 기준으로 경로를 선택한다.

1) Bandwidth: 대역폭(속도)

2) Delay: 도착할 때까지 걸리는 시간

3) Reliability: 신뢰성(패킷을 보낼 때 생기는 Error 수치)

4) Load: Source -> Destination 까지의 경로에 걸리는 부하 수치 (부하, 하중)

5) MTU: Maximum Transmission Unit, 경로의 최대 전송 Unit의 크기 (단위 Byte)

아래와 같이 라우팅 테이블이 구성되어 있을 때, 각 항목별 의미하는 바는 다음과 같다.

1) I : IGRP로 찾아낸 길 (C는 Router에 연결되어있는 경로)

2) 110 : Distance 값

3) 1000 : Metric 값

OSPF(Open Shortest Path First)

Link State을 기반으로 최적의 경로를 찾는 프로토콜로, 네트워크(AS)를 'Area'라는 작은 영역으로 나누어 관리한다.

DR과 BDR을 지정하여 이들에게만 Link State를 전달하며, 정보를 전달받은 DR은 해당 정보를 모두 관리하며 Link State를 항상 일치시키는 역할을 한다. (DR과 BDR은 Priority가 높은 순으로 결정, Default는 1이며 같을 경우 Router ID가 높은 것으로 결정)

DR(Designated Router) : Area 안에서의 Master Router
BDR(Backup DR) : DR 장애 발생 시, DR 역할 수행

# 참고

네트워크(기본) 파트는 '후니의 쉽게 쓴 시스코 네트워킹'을 읽으며 필요한 부분만 정리한 내용입니다.

Routing

네이버 지식백과에 '데이터 통신에서 어드레스 정보를 기준으로 정보를 발신측에서 수신측으로 전송하는 경로를 선택하는 동작'으로 기재되어 있다.

쉽게 말해 데이터를 주고받기 위한 여러가지 경로 중 최적의 경로를 찾아 설정하는 과정을 말한다.

Routing Protocol vs Routed Protocol

1. Routed Protocol

- Router가 Routing 해주는 대상을 뜻한다.

- 종류: TCP/IP, AppleTalk 등

2. Routing Protocol

- Routed Protocol에게 최적화된 경로를 안내하는(제공하는) 역할을 한다.

- 종류: RIP, IGRP, OSPF 등

Distance Vector Algorithm

Distance(거리)와 Vector(방향)만을 이용하여 만들어진 라우팅 알고리즘을 말하며, 라우팅 테이블에 목적지까지의 모든 경로를 저장하는 것이 아닌, 거리와 방향만을 저장해 놓는다.

주위 Router와 일정 시간마다 Routing Table을 교환하여 Routing Table을 업데이트하기 때문에 불필요한 트래픽이 발생하게되고, Routing Table의 변화가 생길 경우, 모든 라우터가 이 변화를 알게되는데 시간이 오래 걸린다. (Convergence Time이 길다.)

Link State Algorithm

Router가 목적지까지의 모든 경로를 저장하고 있다.

SPF(Shortest Path Fast) Algorithm을 이용하며, SPF Tree를 만들고, 해당 트리 정보를 이용해 Routing Table을 만든다.

Routing Table 교환이 자주 발생하지 않으며, 교환 시에도 변화가 있는 내용만 교환하기 때문에 불필요한 트래픽 발생이 적다. 

하지만, Router가 모든 Routing 정보를 관리하기 때문에 리소스 소모가 비교적 크다.

# 참고

네트워크(기본) 파트는 '후니의 쉽게 쓴 시스코 네트워킹'을 읽으며 필요한 부분만 정리한 내용입니다.

VLAN(Virtual LAN)

한 대의 스위치를 이용해 가상의 여러대의 스위치를 사용할 수 있도록 하는 기술이다.

즉, 물리적 스위치 1대로 논리적(가상) 스위치 N개를 사용할 수 있도록 하는 기술을 말한다. (VLAN 간의 통신은 라우터를 통해서만 가능하다)

Trunk Port

하나의 Port를 이용하여 서로 다른 여러개의 VLAN을 전송할 수 있게 해주는 Port를 말한다.

아래 그림처럼 Trunk Port를 이용하면 동일한 VLAN의 통신은 스위치를 건너서도 가능하게 된다.

(트렁크에서 패킷이 전송될 때, VLAN 정보도 같이 전송되기 때문)

# 참고

네트워크(기본) 파트는 '후니의 쉽게 쓴 시스코 네트워킹'을 읽으며 필요한 부분만 정리한 내용입니다.

라우터(Router)

네이버 지식 백과를 보면, '서로 다른 네트워크를 연결해주는 장치'로 기재되어 있다.

라우터의 가장 큰 역할은 '브로드캐스트 영역(네트워크 영역)을 나누는 것'이다.

인터넷 망 전체가 하나의 Broadcast 영역이라면 제대로된 네트워크를 사용하는 것 자체가 불가능하기 때문에 broadcast 영역을 나눠야하는데, 이러한 역할을 하는것이 라우터다.

브로드캐스트 영역
하나의 PC가 데이터를 전송할 때, 라우터를 거치지 않고 받을 수 있는 영역

만약 동일한 네트워크 영역에서 통신이 이뤄진다면, 해당 통신에서 라우터는 필요치 않다.

라우터의 인터페이스 구분

A 네트워크 기준으로, A 네트워크 쪽이 ethernet interface이며, 바깥쪽이 serial interface가 된다.

참고로, 라우터는 네트워크의 개수만큼 인터페이스가 필요하다.

(ex. 3개의 네트워크를 구성하기 위해서는 3개의 인터페이스에 3개의 서로 다른 스위치를 연결)

라우터와 스위치

1. 스위치

- 콜리전 도메인을 나눈다.

- Datalink Layer 기반 (MAC Address)

2. 라우터

- 브로드캐스트 도메인을 나눈다.

- Network Layer 기반 (IP Address)

Access List

해당 용어는 보안 업무 진행 시 계속해서 보게 될 용어이며, Network에 대한 접근 가능 여부를 미리 정해놓은 List이다.

# 참고

네트워크(기본) 파트는 '후니의 쉽게 쓴 시스코 네트워킹'을 읽으며 필요한 부분만 정리한 내용입니다.

Collision Domain

직역하면 '충돌 도메인'이며 동시에 통신을 시도했을 때, 충돌이 발생하는 영역을 말한다.

예를들어 아래와 같은 collision domain에서 A와 C가 통신중일 때, D와 F는 통신이 불가하다.
즉, '동일한 collision domain에서 하나의 PC가 통신할 경우, 다른 모든 PC는 통신이 불가'하다.

Collision
한국말로 '충돌'이라는 뜻을 가지고 있으며, 데이터를 주고 받을 때, 발생하는 신호의 충돌을 말한다.

스위치(Switch)

스위치의 가장 큰 역할은 '콜리전 도메인(collision domain)을 나누는 것'이다. (Bridge도 동일한 역할을 한다.)

아래와 같이 collision domain을 나눌 경우, A와 B가 통신중일 경우에도 C와 D는 통신이 가능하게 된다.

스위치의 기능

1. Learning

MAC Address를 학습하고, MAC Address Table에 저장해놓는다.

2. Flooding

자신의 MAC Address Table에 없는 장비로 통신 시도가 올 경우, 유입된 포트를 제외한 모든 포트로 보낸다.

3. Forwarding

자신의 MAC Address Table에 등록된 목적지로 통신 시도가 올 경우(A->C), C로 가는 포트로만 보낸다.

4. Filtering

자신의 MAC Address Table에 등록된 목적지로 통신 시도이며(A->B), 같은 세그먼트 상에 있을 경우, 동일한 세그먼트 내에서 통신이 이뤄질 수 있도록 한다.

5. Aging

MAC Address Table에 저장된 정보를 일정 시간 뒤에 지운다.

# 참고

네트워크(기본) 파트는 '후니의 쉽게 쓴 시스코 네트워킹'을 읽으며 필요한 부분만 정리한 내용입니다.