보호 대항 VPC를 방화벽 정책과 연결한다. 사용자는 보호할 각 가용 영역에 방화벽 엔트포인트 전용 서브넷을 연결한다. 그리고 방화벽 엔트포인트를 통해 트래픽을 전송하도록 라우팅 테이블을 업데이드 한다.
방화벽 정책(Firewall policies)
Stateful, Stateless 규칙 그룹 및 기타 설정을 정의한다.
규칙 그룹(Network Firewall rule groups)
방화벽 정책에 대한 모음이다. 또한 suricate 오픈 소스 규칙을 사용할 수도 있다.
AWS Network Firewall의 기능
1. 고가용성 및 자동 확장
모든 트래픽이 일관성 있게 검사 및 모니터링 되도록 기본으로 이중화 기능을 제공
99.99%의 가용성의 SLA을 제공하며, 트래픽 부하에 따라 방화벽 용량을 자동으로 스케일업/다운할 수 있다.
2. Stateful 방화벽
소스 주소 및 프로토콜 유형에 따라 세분화된 정책을 위해 트래픽의 흐름을 고려하며, 이 Stateful 방화벽의 일치 기준은 AWS Network Firewall Stateless 검사 기능과 동일하며, 트래픽의 방향에 대한 일치 설정이 추가된다. AWS Network Firewall은 TCP/UDP 트래픽 필터링뿐만 아니라 모든 포트를 필터링한다.
3. 웹 필터링
AWS Network Firewall은 암호화 되지 않은 웹 트래픽에 대한 인바운드/아웃바운드 웹 필터링을 지원한다. 암호화된 웹 트래픽은 SNI를 사용하여 FQDN(정규화된 도메인 이름)을 필터링 할 수 있다.
4. 칩입 방지
AWS Network Firewall의 칩입 방지 시스템은 취약성 공격 및 애플리케이션 계층 보호 기능으로 트래픽 흐름 검사를 제공한다.
5. 경고 및 Flow logs
경고 로그는 규칙 별로 상이하며, 트리거된 규칙과 특정 세션에 대한 추가 데이터를 제공한다.
Flow logs는 방화벽을 통과하는 모든 트래픽의 흐름에 대한 상태 정보를 제공하며, AWS S3, Amazon Kinesis, AWS CloudWatch에 저장할 수 있다.
6. 중앙 집중식 관리 및 가시성
AWS Firewall Manager은 AWS 조직의 서비스, VPC 및 계정 전반에 대한 보안 정책을 중앙에서 배포 및 관리 할 수 있다.
7. 규칙 관리 및 사용자 정의
AWS Network Firewall을 통해 고객은 사내 자제 규칙 및 써드 파티, 오픈 소스 플랫폼에서 조달한 Suricata 호환 규칙을 실행할 수 있다.
AWS Network Firewall 전체 VPC에 대한 3~7 계층의 네트워크 트래픽을 제어하고 가시성을 제공하여 기존 서비스 및 마켓플레이스 제품의 보안을 보완한다. 사용 사례에 따라 VPC 보안 그룹, WAF의 규칙, AWS 마켓플레이스 제품과 같은 기존 보안 규칙을 따라 AWS Network Firewall을 구축할 수 있다.
AWS Network Firewall을 언제 사용해야 될까?
URL, IP, 도메인 기반 트래픽을 제어할 수도 있지만 VPC to VPC, Transit Gateway를 통해 실행되는 AWS Direct Connect 및 AWS VPN 서비스를 보호 할 수 있어서 이런 케이스 때 사용하면 좋을 것 같다.
AWS Network Firewall의 배포 모델
단일 AZ에 배포된 AWS 네트워크 방화벽 및 공용 서브넷의 워크로드에 대한 트래픽 흐름각각 보호된 VPC에 배포된 AWS 네트워크 방화벽다중 AZ 구성으로 배포된 AWS 네트워크 방화벽ALB/NAT 게이트웨이 사이의 트래픽을 검사하기 위한 모델중앙 집중식 모델Transit Gateway를 통해 들어오는 트래픽을 검사하기 위한 모델