중요: 이 솔루션을 사용하려면 신규 고객이 더 이상 사용할 수 없는 AWS CodeCommit을 사용해야 합니다. AWS CodeCommit의 기존 고객은 평소처럼 이 AWS 솔루션을 계속 사용하고 배포할 수 있습니다.
개요
AWS 기반 중앙 집중식 네트워크 검사는 네트워크 트래픽을 필터링하는 데 필요한 AWS 리소스를 구성합니다. 이 솔루션은 Amazon Virtual Private Cloud(VPC) 간의 트래픽을 검사하기 위해 중앙 집중식 AWS Network Firewall을 프로비저닝하는 프로세스를 자동화하여 시간을 단축해 줍니다.
장점
이 솔루션을 사용하면 AWS CodeCommit 리포지토리에 있는 구성 패키지의 규칙 그룹과 방화벽 정책을 수정할 수 있습니다. 그러면 AWS CodePipeline이 자동으로 호출되어 검증 및 배포가 실행됩니다.
이 솔루션을 사용하면 수백 또는 수천 개의 Amazon VPC와 계정을 한 곳에서 검사할 수 있습니다. 또한 AWS Network Firewall, 방화벽 정책 및 규칙 그룹을 중앙에서 구성하고 관리할 수 있습니다.
이 솔루션은 GitOps 워크플로를 사용하여 AWS Network Firewall 구성 변경에 대한 협업을 진행하고 관리하는 데 도움이 됩니다.
기술 세부 정보
구현 가이드 및 함께 제공되는 AWS CloudFormation 템플릿을 사용하여 이 아키텍처를 자동으로 배포할 수 있습니다.
1단계
AWS CloudFormation 템플릿은 총 4개의 서브넷이 있는 검사 VPC를 배포합니다. 서브넷 2개는 VPC Transit Gateway Attachment를 생성하는 데 사용되고 다른 서브넷 2개는 AWS Network Firewall 엔드포인트를 생성하는 데 사용됩니다.
2단계
CloudFormation 템플릿은 기본적으로 모든 네트워크 트래픽을 허용하는 새 AWS CodeCommit 리포지토리 및 네트워크 방화벽 구성을 생성합니다. 이 템플릿에는 새 규칙 그룹을 만드는 데 도움이 되는 예제 세트도 포함되어 있습니다.
3단계
CodeCommit 리포지토리에서 구성 패키지를 수정하면 AWS CodePipeline이 간접적으로 호출되어 검증 및 배포 단계가 실행됩니다.
4단계
이 솔루션은 기본 라우팅 대상이 있는 각 가용 영역에 대해 Amazon VPC 라우팅 테이블을 생성합니다. 방화벽 서브넷을 사용한 공유 라우팅 테이블도 Transit Gateway ID를 기본 라우팅 대상으로 사용하여 생성됩니다.
5단계
또한 이 솔루션은 AWS Key Management Service(AWS KMS) 암호화 키를 2개 생성합니다. 이 키 중 하나는 Amazon Simple Storage Service(S3) 아티팩트, 소스 코드 버킷 및 AWS CodeBuild 프로젝트의 객체를 암호화하는 데 사용됩니다. 다른 키는 Network Firewall 로그 대상을 암호화하는 데 사용됩니다.
6단계
AWS Identity and Access Management(IAM) 역할은 S3 버킷에 액세스하고 Network Firewall 리소스를 관리하기 위해 CodePipeline 및 CodeBuild 스테이지에 대한 권한을 부여할 목적으로 생성됩니다.