실습 개요
Amazon Web Services(AWS)의 최우선 과제는 바로 보안입니다. AWS는 각 고객의 고유한 보안 요구를 충족할 수 있는 다양한 도구와 서비스를 제공합니다. 이 실습에서는 이러한 도구와 서비스 중 보안 수준을 높일 수 있는 한 가지 솔루션을 설명합니다. 구체적으로는 Amazon CloudFront와 AWS WAF의 액세스만 허용하도록 Amazon Virtual Private Cloud(Amazon VPC) 보안 그룹을 자동으로 업데이트하는 방법을 살펴봅니다. 이러한 방식으로 보안 그룹 규칙을 정의하면 악성 요청이 AWS WAF 보안 규칙을 우회하여 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 직접 액세스할 수 없게 됩니다.
CloudFront 및 AWS WAF IP 범위에서 전송되는 트래픽만 허용하려면 AWS IP 변경 알림을 받아야 합니다. AWS에서는 JSON 형식으로 서비스 IP 범위를 제공하는 퍼블릭 Amazon Simple Notification Service(Amazon SNS) 주제를 통해 서비스 IP 변경을 사용자에게 알립니다. 이 실습에서는 Amazon SNS와 AWS Lambda를 통합하여 이러한 새 IP로 보안 그룹을 자동 업데이트하는 방법을 시연합니다.
이 실습에서 다루는 주제
이 실습을 마치면 다음을 수행할 수 있습니다.
- Amazon VPC 보안 그룹 생성
- AWS Identity and Access Management(IAM) 정책 생성
- AWS Lambda 함수 생성
- 샘플 이벤트를 사용하여 Lambda 함수 테스트
- Amazon SNS 주제에 Lambda 함수 구독
필수 기술 지식
이 실습은 AWS 학습자를 대상으로 제공됩니다. 이 실습을 성공적으로 완료하려면 Amazon EC2를 비롯한 AWS 서비스, Amazon VPC 보안 그룹, IAM 역할과 정책, Amazon SNS에 대해 잘 알고 있어야 합니다. AWS 관리 콘솔에 로그인하고 사용하는 것에 익숙해야 합니다.
AWS Lambda란?
AWS Lambda는 클라우드에서 크기 조정 가능한 컴퓨팅 용량을 제공하여 개발자의 웹 규모 컴퓨팅을 더 쉽게 만들어 주는 컴퓨팅 서비스입니다. Lambda에 코드를 업로드하면 Lambda가 AWS 인프라를 사용하여 사용자 대신 코드를 실행합니다. Lambda는 Node.js, Java, Python과 같은 여러 코딩 언어를 지원합니다.
코드를 업로드하고 Lambda 함수를 생성하고 나면 Lambda에서 해당 코드를 실행하는 서버를 프로비저닝 및 관리합니다. 이 실습에서는 Lambda를 트리거 기반 컴퓨팅 서비스로 사용하여 Amazon EC2 보안 그룹의 변경에 대한 응답으로 코드를 실행합니다. Lambda 함수의 코드는 이 실습과 함께 제공됩니다.
AWS CloudFormation이란?
AWS CloudFormation은 개발자와 시스템 관리자가 관련 AWS 리소스 모음을 생성 및 관리하고, 이를 순서에 따라 예측 가능한 방식으로 프로비저닝하고 업데이트할 수 있도록 지원합니다.
샘플 템플릿을 사용하거나 자신의 템플릿을 생성하여, 애플리케이션 실행에 필요한 AWS 리소스는 물론 기타 관련 종속성 또는 런타임 파라미터에 대해 기술할 수 있습니다. AWS 서비스를 프로비저닝하는 순서나 이러한 종속성을 적용하기 위한 세부 요소를 파악할 필요가 없습니다. AWS CloudFormation이 대신 처리할 것입니다.
콘솔, AWS Command Line Interface(AWS CLI) 또는 API 작업을 사용해 템플릿과 관련 리소스 모음(스택이라고 칭함)을 배포하고 업데이트합니다. AWS CloudFormation에는 추가 요금이 없으며 애플리케이션 실행에 필요한 AWS 리소스에 대해서만 요금을 지불하면 됩니다.
