AWS Network Firewall FAQ

AWS Network Firewall은 모든 Amazon Virtual Private Cloud(VPC)에 대한 필수 네트워크 보호 기능을 쉽게 배포할 수 있는 관리형 서비스입니다. 이 서비스는 클릭 몇 번만으로 설정할 수 있으며 네트워크 트래픽에 따라 자동으로 확장되므로, 인프라 배포와 관리에 대해 걱정할 필요가 없습니다. AWS Network Firewall의 유연한 규칙 엔진은 악성 활동의 확산을 방지하기 위해 아웃바운드 SMB(서버 메시지 블록) 요청을 차단하는 등 네트워크 트래픽을 세밀하게 제어할 수 있는 방화벽 규칙을 정의할 수 있게 해 줍니다. 또한 이미 공통 오픈 소스 규칙 형식으로 작성한 규칙을 가져오거나 AWS 파트너가 제공하는 호환 가능한 규칙을 가져올 수 있습니다. AWS Network Firewall은 AWS Firewall Manager와 연동되므로, AWS Network Firewall 규칙을 기반으로 정책을 구축한 후 해당 정책을 중앙에서 VPC 및 계정 전반에 적용할 수 있습니다.

AWS Network Firewall 인프라는 AWS에서 관리하므로, 자체 네트워크 보안 인프라를 구축하고 유지 관리하는 것에 대해 걱정할 필요가 없습니다. AWS Network Firewall은 AWS Firewall Manager와 연동되므로, 보안 정책을 중앙에서 관리하고 기존 및 새로 생성된 계정과 VPC에 전반에 걸쳐 필수 보안 정책을 자동으로 적용할 수 있습니다. AWS Network Firewall에는 매우 유연한 규칙 엔진이 있으므로 사용자 지정 방화벽 규칙을 구축하여 고유한 워크로드를 보호할 수 있습니다. AWS Network Firewall은 수천 개의 규칙을 지원하며, 규칙은 도메인, 포트, 프로토콜, IP 주소, 패턴 매칭을 기반으로 할 수 있습니다.

AWS Network Firewall은 일반적인 네트워크 위협에 대한 보호 기능을 포함하고 있습니다. AWS Network Firewall의 상태 기반 방화벽은 트래픽 흐름에 연결 추적 및 프로토콜 식별과 같은 컨텍스트를 통합하여 VPC가 승인되지 않은 프로토콜을 사용하여 도메인에 액세스하는 것을 방지하는 등의 정책을 적용할 수 있습니다. AWS Network Firewall의 IPS(침입 방지 시스템)는 취약성 공격을 식별 및 차단할 수 있도록 서명 기반 탐지에 기반한 능동적인 트래픽 흐름 검사를 제공합니다. 또한 AWS Network Firewall은 알려진 악성 URL에 대한 트래픽을 중지시키고 정규화된 도메인 이름을 모니터링할 수 있는 웹 필터링을 제공합니다.

AWS Network Firewall은 민감한 애플리케이션이나 사업부 리소스를 호스팅하는 논리적으로 분리된 네트워크에 대한 VPC 간 트래픽의 제어 및 가시성을 제공합니다. AWS Network Firewall은 URL, IP 주소 및 도메인 기반 아웃바운드 트래픽 필터링을 제공하여 규정 준수 요구 사항을 충족하고, 잠재적 데이터 유출을 차단하고, 알려진 맬웨어 호스트와의 통신을 차단하는 데 도움이 됩니다. AWS Network Firewall은 클라이언트 디바이스 및 온프레미스 환경에서 AWS Transit Gateway를 통해 실행되는 AWS Direct Connect 및 AWS VPN 트래픽을 보호합니다. AWS Network Firewall은 액세스 제어 목록(ACL) 규칙, 상태 저장 검사, 프로토콜 탐지 및 침입 방지와 같은 기능을 사용하여 모든 인바운드 인터넷 트래픽을 필터링함으로써 애플리케이션 가용성을 보호합니다.

AWS Network Firewall은 VPC에 대한 액세스를 보호하고 제어하도록 설계되었지만, 애플리케이션 가용성에 영향을 줄 수 있는 분산 서비스 거부(DDoS)와 같은 대규모 공격을 완화하기 위한 것은 아닙니다. DDoS 공격으로부터 보호하고 애플리케이션 가용성을 보장하려면 고객이 DDoS 복원력에 대한 AWS 모범 사례를 검토하여 준수하고, 특정 애플리케이션 트래픽에 맞게 사용자 지정된 관리형 DDoS 보호를 제공하는 AWS Shield Advanced도 살펴보는 것이 좋습니다.

AWS Network Firewall은 전체 VPC의 계층 3-7 네트워크 트래픽에 대한 제어 및 가시성을 제공하여 AWS의 기존 네트워크 및 애플리케이션 보안 서비스를 보완합니다. 사용 사례에 따라 Amazon VPC 보안 그룹, AWS 웹 애플리케이션 방화벽 규칙 또는 AWS Marketplace 어플라이언스와 같은 기존 보안 제어 기능과 함께 AWS Network Firewall을 구현하도록 선택할 수 있습니다.

AWS Network Firewall 요금은 배포된 방화벽의 수와 검사된 트래픽 양을 기반으로 청구됩니다. 자세한 내용은 AWS Network Firewall 요금을 참조하세요.

AWS Network Firewall의 리전별 가용성에 대한 자세한 내용은 AWS 리전 표 참조하세요.

많은 AWS 파트너 네트워크(APN) 파트너가 기존 AWS 서비스를 보완하는 제품을 제공하여 AWS와 온프레미스 환경 전체에 원활하고 포괄적인 보안 아키텍처를 배포할 수 있도록 합니다. AWS Network Firewall을 보완하는 제품을 제공하는 APN 파트너의 현재 목록은 AWS Network Firewall 파트너를 참조하세요.

AWS Network Firewall은 99.99%의 가동 시간을 약속하는 서비스 수준 계약을 제공합니다. AWS Network Firewall을 사용하면 트래픽 부하에 따라 방화벽 용량을 자동으로 확장하거나 축소하여 안정적이고 예측 가능한 성능을 유지할 수 있어 비용을 최소화할 수 있습니다.

AWS Network Firewall에는 생성할 수 있는 방화벽, 방화벽 정책, 규칙 그룹의 수와 기타 설정(예: 단일 방화벽 정책에 포함할 수 있는 상태 비저장 또는 상태 저장 규칙 그룹의 수)에 대한 서비스 할당량이 적용됩니다. 서비스 할당량 증가를 요청하는 방법에 대한 정보를 비롯한 서비스 할당량에 대한 추가 세부 정보는 AWS Network Firewall 할당량 페이지를 참조하세요.

AWS Network Firewall은 중앙 집중식과 분산형이라는 두 가지 기본 배포 유형을 지원합니다. 배포되면 각 Amazon VPC 내에 AWS Network Firewall을 배포하여 애플리케이션 가까이에 적용할 수 있습니다. 또한 AWS Network Firewall은 AWS Transit Gateway에 대한 VPC 연결로 중앙 집중식 배포를 지원합니다. 동일한 영역 방화벽에 대한 대칭 라우팅을 유지하는 Transit Gateway 모드의 Network Firewall을 사용하면 인터넷 게이트웨이, Direct Connect 게이트웨이, PrivateLink, VPN Site-to-Site 및 클라이언트 게이트웨이, NAT 게이트웨이, 심지어 연결된 다른 VPC와 서브넷 간의 다양한 인바운드 및 아웃바운드 트래픽을 필터링할 수 있습니다.

AWS Network Firewall은 AWS PrivateLink와 같은 다른 네트워크 서비스와 마찬가지로 엔드포인트 서비스로 배포됩니다. AWS Network Firewall 엔드포인트는 Amazon VPC 내 전용 서브넷에 배포해야 하며 크기는 최소 /28이어야 합니다. AWS Network Firewall은 엔드포인트로 라우팅되는 모든 트래픽을 검사하며, 이는 경로 삽입 및 필터링을 위한 메커니즘입니다. AWS Firewall Manager Console을 통해 또는 AWS Firewall Manager와 통합되는 파트너 솔루션을 통해 상태 비저장 액세스 제어 목록(ACL), 상태 기반 검사, 침입 방지 시스템(IPS)과 같은 다양한 규칙 유형을 사용하여 구성과 정책을 중앙에서 구축할 수 있습니다. AWS Network Firewall은 AWS 관리형 서비스이기 때문에 AWS에서 규모 조정, 가용성, 복원력, 소프트웨어 업데이트를 관리합니다.

예. AWS Network Firewall은 리전 서비스로서 조직 및 계정 수준에서 네트워크 트래픽을 보호합니다. 여러 계정에서 정책과 거버넌스를 유지하려면 AWS Firewall Manager를 사용하는 것이 좋습니다.

AWS Network Firewall 정책은 방화벽의 모니터링 및 보호 동작을 정의합니다. 해당 동작의 세부 사항은 정책에 추가하는 규칙 그룹 또는 특정 기본 정책 설정에 정의되어 있습니다. 방화벽 정책을 사용하려면 정책을 하나 이상의 방화벽에 연결합니다.

규칙 그룹은 네트워크 트래픽을 검사 및 필터링하기 위한 재사용 가능한 방화벽 규칙 세트입니다. 상태 비저장 또는 상태 저장 규칙 그룹을 사용하여 방화벽 정책에 대한 트래픽 검사 기준을 구성할 수 있습니다. 자체 규칙 그룹을 만들거나 AWS Marketplace 판매자가 관리하는 규칙 그룹을 사용할 수 있습니다. 자세한 내용은 AWS Network Firewall 개발자 안내서를 참조하세요.

AWS Network Firewall은 상태 비저장 규칙과 상태 저장 규칙을 모두 지원합니다. 상태 비저장 규칙은 소스 및 대상 IP 주소, 포트 또는 프로토콜을 기반으로 할 수 있는 네트워크 액세스 제어 목록(ACL)으로 구성됩니다. 상태 저장 규칙은 소스 및 대상 IP 주소, 포트, 프로토콜로 정의되지만, 연결 또는 세션이 지속되는 동안 연결 또는 세션을 유지하고 보호한다는 점에서 상태 비저장 규칙과 다릅니다.

또한 AWS Network Firewall은 사전 구성된 보호를 제공하는 관리형 규칙을 제공합니다. 이러한 규칙은 AWS에서 관리하거나 AWS 파트너가 관리합니다. AWS 파트너가 관리하는 규칙은 AWS Marketplace를 통해 구독할 수 있습니다.

AWS 관리형 규칙은 AWS 글로벌 위협 인텔리전스를 활용해 활성 위협에 자동으로 대응하는 Active Threat Defense 기능을 제공하며, 도메인, IP, 위협 시그니처 기반의 관리형 규칙 그룹도 함께 제공합니다.

파트너 관리형 규칙은 AWS Network Firewall 정책에 쉽게 통합할 수 있는 엄선된 규칙을 제공합니다. 이러한 규칙은 여러 사용 사례로부터 클라우드 워크로드를 보호하는 데 도움이 됩니다.

각 규칙 유형은 방화벽 정책 내에서 함께 조합할 수 있으며, 이를 통해 보안 요구 사항에 맞춘 포괄적인 보호 체계를 구축할 수 있습니다.

추가 분석 및 조사를 위해 AWS Network Firewall 활동을 Amazon S3 버킷에 기록할 수 있습니다. Amazon Kinesis Firehose를 사용하여 서드 파티 제공업체에게 로그를 포팅할 수도 있습니다.

예. 네이티브 통합 기능을 사용하거나 VPC에 AWS Network Firewall을 배포한 다음 해당 VPC를 TGW에 수동으로 연결할 수 있습니다. 이 구성에 대한 자세한 내용은 AWS Network Firewall의 배포 모델 블로그 게시물을 참조하세요.

AWS Network Firewall은 이미 AWS Gateway Load Balancer를 사용하여 방화벽 엔드포인트에 탄력적인 확장성을 제공하고 있으며 별도의 통합이 필요하지 않습니다. ‘gateway_load_balancer_endpoint’ 유형을 사용하는 방화벽 엔드포인트 탄력적 네트워크 인터페이스(ENI)를 확인하여 이를 확인할 수 있습니다.

AWS Network Firewall 요금은 배포된 방화벽의 수와 검사된 트래픽 양을 기반으로 청구됩니다. 여러 VPC에 하나의 방화벽을 연결한 경우, 검사용 VPC에 있는 기본 방화벽 엔드포인트에 대해 리전과 AZ당 표준 시간당 요금이 부과됩니다. 해당 방화벽과 연결된 보조 엔드포인트를 추가할 때마다 리전 및 AZ당 할인된 시간당 요금이 부과됩니다. 또한 방화벽에서 처리한 트래픽 양에 대한 요금도 지불하며, 리전 및 AZ당 기가바이트 단위로 요금이 청구됩니다. 여러 엔드포인트에 대한 자세한 비용 정보는 AWS Network Firewall 요금을 참조하세요.

AWS Network Firewall은 HTTPS(SNI)/HTTP 프로토콜 URL 필터링, 액세스 제어 목록(ACL), DNS 쿼리, 프로토콜 탐지와 같은 유형의 아웃바운드 트래픽 제어를 지원합니다.

AWS Network Firewall은 AZ당 최대 100Gbps의 대역폭까지 자동으로 스케일 업합니다. 100Gbps 대역폭은 모든 관련 VPC 엔드포인트에서 공유되므로 고객은 배포를 계획할 때 총 예상 트래픽 볼륨을 고려해야 합니다. 단일 엔드포인트에 과도한 트래픽이 집중되면 성능이 저하될 수 있습니다. 고객이 서비스가 성능 기대치를 충족하는지 확인하기 위해 자체 규칙을 사용하여 자체 테스트를 수행하는 것이 좋습니다.

방화벽 소유자 계정은 각 AZ에서 검사용 방화벽과 그에 연결된 모든 보조 엔드포인트에 대해 요금이 청구됩니다. 교차 계정 엔드포인트 연결을 포함하여 연결된 모든 기본 및 보조 엔드포인트에 대해서는 방화벽 소유자에게만 요금이 청구됩니다.

AWS Network Firewall은 암호화된 트래픽에 대한 심층 패킷 검사를 지원합니다.

AWS Network Firewall 로그는 기본적으로 Amazon S3, Amazon Kinesis Data Firehose 및 Amazon CloudWatch에 저장할 수 있습니다. 각 VPC 엔드포인트에 사용할 수 있는 지표는 수신된 패킷, 손실된 패킷, 유효하지 않은 손실된 패킷, 기타 손실된 패킷, 전달된 패킷입니다.

Amazon VPC Console 또는 Network Firewall API에서 AWS Network Firewall TLS 검사를 구성할 수 있습니다. 설정은 3단계 프로세스로 이루어집니다. AWS Network Firewall 서비스 설명서의 단계에 따라 1) 인증서 및 키를 프로비저닝하고, 2) TLS 검사 구성을 생성하고, 3) 방화벽 정책에 구성을 적용합니다.

이 서비스는 암호화된 클라이언트 hello(ECH) 및 암호화된 SNI(ESNI)를 제외하고 TLS 버전 1.1, 1.2 및 1.3을 지원합니다.

AWS Network Firewall은 AWS Certificate Manager(ACM)가 지원하는 모든 암호 그룹을 지원합니다. 자세한 내용은 서비스 설명서의 TLS 검사 고려 사항을 참조하세요.

AWS Network Firewall 요금은 배포된 방화벽의 수와 검사된 트래픽 양을 기반으로 청구됩니다. 인그레스 TLS 검사 비용에 대한 자세한 내용은 AWS Network Firewall 요금을 참조하세요.

이 새로운 기능 릴리스에서도 현재의 AWS Network Firewall 대역폭 성능을 유지할 것으로 예상됩니다. 고객이 서비스가 성능 기대치를 충족하는지 확인하기 위해 자체 규칙 세트를 사용하여 자체 테스트를 수행하는 것이 좋습니다.

AWS Management Console, AWS CLI 또는 AWS SDK를 통해 AWS Network Firewall에서 Active Threat Defense 관리형 규칙 그룹을 활성화할 수 있습니다. AWS Network Firewall의 경우 방화벽 정책을 생성하거나 업데이트할 때 AWS 관리형 규칙 그룹 드롭다운에서 Active Threat Defense 규칙 그룹을 선택할 수 있습니다. 추가한 후에는 방화벽 정책 내에 Active Threat Defense 관리형 규칙 그룹이 자동으로 표시됩니다. 경고 또는 거부와 같은 지원되는 적용 모드에서 규칙 그룹을 추가로 구성할 수 있습니다.

AWS Network Firewall의 Active Threat Defense 관리형 규칙 그룹은 여러 측면에서 기존 도메인, IP 및 위협 시그니처 관리형 규칙 그룹과 다릅니다. Active Threat Defense 규칙은 주로 Amazon 위협 인텔리전스를 기반으로 합니다. 이 기능은 Amazon 위협 인텔리전스가 식별한 활성 위협에 신속하게 대응하는 보호 기능에 중점을 둡니다. 활성 위협이 식별되면 AWS Network Firewall은 자동으로 관리형 규칙을 적용하여 위협을 차단합니다. Active Threat Defense는 다른 관리형 규칙 그룹을 보완하여 추가 보호 계층을 제공하도록 설계되었습니다.

AWS Network Firewall은 Amazon CloudWatch와 원활하게 통합되어 규칙 일치 및 성능 지표를 추적하는 데 도움이 되는 포괄적인 로깅 및 모니터링 기능을 제공합니다. Network Firewall 콘솔의 Active Threat Defense 관리형 규칙 그룹 섹션을 통해 지표 그룹, 지표 유형, 차단 중인 특정 위협 이름 등 보안 상태에 대한 향상된 가시성을 확보할 수 있습니다. 

예, 방화벽 정책에서 Active Threat Defense 규칙 그룹이 활성화된 경우 방화벽 엔드포인트에서 처리되는 트래픽 양에 대해 추가 요금을 지불해야 합니다. 이 트래픽은 리전과 가용 영역별로 기가바이트당 요금이 청구됩니다.      

Active Threat Defense 관리형 규칙 그룹은 고정된 1만 5,000의 규칙 용량을 사용하며, 리전당 방화벽 정책에서 허용되는 총 상태 저장 규칙 한도는 3만으로 유지됩니다. 계정 수준에서 추가 비용 없이 상태 저장 규칙의 할당량 증가를 요청할 수 있습니다. AWS Network Firewall 할당량에 대해 자세히 알아보고 상태 저장 규칙 한도 증가를 요청하려면 서비스 설명서를 참조하세요.