May 9, 2023

AWS 클라우드 서버 구축 3

AWS 클라우드 서버 구축 3

3. 아키텍쳐 및 보안설정

3-1. 보안그룹과 네트워크 ACL이용

https://app.creately.com/diagram/ 의 도구를 이용하여 아키텍쳐를 작성했음
https://www.cloudcraft.co/ 의 도구도 사용하여 작성 가능함

3-1

DMZ로 구축되어진 Public Subnet에 waebserver를 구축

내부네트워크로만 이루어진 Private Subnet상에 Database 서버를 구축한다.

Database 서버에 접근하기 위해서는 Public Subnet 상에 서버를 추가하여 VPN 또는  SSH 포트포워딩등의 기법을 이용하여 Private Subnet에 속한 Satabase 서버에 연결하도록 해야 한다.

보안그룹과 NACL을 이용히여 방화벽의 기능을 수행하고,추가적으로 AWS의 유료 방화벽 서비스를 이용할 수도 있다.

3-2. 이중화 및 오토스케일 적용

리전>가용영역, 하나의 리전안에 여러 개의 가용영역이 존재. 서울리전에도 2개의 Availability Zone 이 존재.

server-redundancy

일반적인 구성으로 2개의 가용영역을 이용하여 이중화구성된 시스템이다.
웹서버는 부하를 위하여 오토스케일링을 적용하여 비용을 효율적으로 운영할 수 있도록 설계되었다.
NACL, Router, SecurityGroup등은 생략하여 간략화 함.

3-3. AWS Firewall Manager 관리자 계정 설정 (추가 방화벽 기능 사용시)

AWS Shield 스탠다드는 Elastic Load Balancing(ELB), Application Load Balancer, Amazon CloudFront 및 Amazon Route 53과 같은 AWS 서비스를 사용할 때 자동으로 활성화된다. 해당 AWS 서비스의 요금 페이지에 명시된 표준 요금만 지불하면 된다.  AWS Shield 어드밴스드의 경우 데이터 송신 용량에 따라 요금이 부과 된다.

AWS-Firewall-Manager

방화벽 관리자 계정 설정

표시된 12자리의 관리자 계정 

Aws 요금 계산기 : https://calculator.aws/
AWS WAF의 경우 ACL 당 요금이 월과금되고, AWS Firewall Manager 의 경우 정책당 월 100$의 요금이 과금된다.
AWS shield는 아래 내용을  참고하기 바란다.

3-4. IAM > 계정설정 > 암호 정책 설정

IAM_password_policy

암호정책을 변경하여 ISMS의 정책에 맞추어 설정해야 함.
최소길이 및 복잡도.
최소길이 8로 할 경우 복잡도 3 (영문 + 숫자  + 특수기호)
최소길이 10으로 할 경우 복잡도 2 (영물 + 숫자)
암호 만료 활성화 ( 90일 )
사용자 자신의 암호 변경 허용
암호 재사용 제한