Amazon Web Services 한국 블로그
Amazon CloudFront VPC 오리진 출시: 애플리케이션의 보안 강화 및 작업 간소화
Amazon Virtual Private Cloud(Amazon VPC)의 프라이빗 서브넷에서 호스팅하는 애플리케이션으로부터 콘텐츠를 전송할 수 있게 해주는 새로운 기능인 Amazon CloudFront 가상 프라이빗 클라우드(VPC) 오리진의 릴리스를 소개하게 되어 기쁩니다. 이 기능은 CloudFront로 보안을 강화하고 고성능과 글로벌 확장성을 유지하면서 비즈니스 성장에 집중할 수 있도록 하여 웹 애플리케이션을 손쉽게 보호할 수 있게 해줍니다.
Amazon Simple Storage Solution(Amazon S3), AWS Elemental Services 및 AWS Lambda 함수 URL에서 콘텐츠를 제공하는 고객은 오리진 액세스 제어를 관리형 솔루션으로 사용하여 오리진을 보호하고 CloudFront를 애플리케이션의 단일 진입점으로 사용할 수 있습니다. 하지만 Amazon Elastic Compute Cloud(Amazon EC2)에서 호스팅되거나 로드 밸런서를 사용하는 애플리케이션의 경우, 동일한 결과를 얻으려면 자체 솔루션을 만들어야 했기 때문에 이를 달성하기가 더 어려웠습니다. 액세스 제어 목록(ACL)을 사용하거나, 방화벽 규칙을 관리하거나, 헤더 검증과 같은 로직과 기타 몇 가지 기법을 사용하는 등의 방법을 조합하여 엔드포인트가 CloudFront에만 사용되도록 해야 합니다.
CloudFront VPC 오리진은 프라이빗 서브넷 내의 Application Load Balancer(ALB), Network Load Balancer(NLB) 또는 EC2 인스턴스를 직접 가리키도록 CloudFront 배포판의 대상을 설정하는 데 사용할 수 있는 관리형 솔루션을 제공하므로, 이러한 종류의 획일적인 작업이 필요하지 않습니다. 결과적으로, CloudFront는 최소한의 구성 작업으로 해당 리소스의 유일한 수신 지점이 되므로, 퍼블릭 IP 주소가 필요하지 않고 따라서 성능이 개선되고 비용이 절감됩니다.
CloudFront VPC 오리진 구성
CloudFront VPC 오리진은 추가 비용 없이 사용 가능한, 모든 AWS 고객이 액세스할 수 있는 옵션입니다. Amazon CloudFront 콘솔 또는 AWS Command Line Interface(AWS CLI)를 사용하여 신규 또는 기존 CloudFront 배포판과 통합할 수 있습니다.
AWS Fargate for Amazon ECS에서 비공개로 호스팅되는 애플리케이션이 ALB를 통해 실행된다고 가정해 보겠습니다. 프라이빗 서브넷 내에서 직접 ALB를 사용하는 CloudFront 배포판을 생성해 보겠습니다.
먼저 CloudFront 콘솔로 이동하여 새 메뉴 옵션인 VPC 오리진을 선택합니다.
새 VPC 오리진은 간단하게 생성할 수 있습니다. 몇 가지 옵션을 선택하기만 하면 됩니다. Origin ARN에서는 프라이빗 서브넷에서 호스팅되는 사용 가능한 리소스를 검색하거나 직접 입력할 수 있습니다. 원하는 리소스를 선택하고 몇 가지 보안 옵션과 함께 VPC 오리진의 기억하기 쉬운 이름을 선택한 다음 확인합니다. 모든 계정의 리소스에 대한 지원이 곧 제공될 예정이지만, 출시 시점에는 VPC 오리진 리소스가 CloudFront 배포판과 동일한 AWS 계정에 있어야 한다는 점에 유의하시기 바랍니다.
생성 프로세스가 완료되면 VPC 오리진이 배포되어 바로 사용할 수 있게 됩니다. VPC 오리진 페이지에서 상태를 확인할 수 있습니다.
이로써 몇 번의 클릭만으로 프라이빗 서브넷에서 호스팅되는 리소스에서 직접 콘텐츠를 제공하는 CloudFront 배포판을 생성했습니다. VPC 오리진을 생성한 후 배포판 창으로 이동하고, 드롭다운에서 ARN을 선택하거나 ARN을 수동으로 복사하여 붙여 넣는 방법으로 VPC 오리진을 배포판에 추가할 수 있습니다.
하지만 웹 익스플로잇으로부터 보호하는 AWS Web Application Firewall(WAF), 관리형 DDoS 보호를 위한 AWS Shield, 전체 스펙트럼 보호를 위한 기타 서비스를 사용하여 애플리케이션의 보안을 계속 계층화하는 것이 여전히 중요하다는 점을 유의하세요.
결론
CloudFront VPC Origins는 CloudFront 배포판을 지원하여 프라이빗 서브넷에서 호스팅되는 리소스에서 직접 콘텐츠를 제공할 수 있도록 함으로써, 조직이 안전한 고성능 애플리케이션을 제공할 수 있는 새로운 방법을 제공합니다. 따라서 애플리케이션의 보안을 유지하면서 퍼블릭 오리진을 유지 관리하는 데 드는 복잡성과 비용을 줄일 수 있습니다.
자세히 알아보려면 시작 가이드를 참조하세요.