AWS 개요
멀티 클라우드 방어에서 AWS 계정을 멀티 클라우드 방어 컨트롤러에 연결할 때 사용하는 CloudFormation 템플릿을 만들었습니다.
멀티 클라우드 방어 컨트롤러과의 통합을 위한 클라우드 계정을 준비하려면 클라우드 계정에서 수행해야 하는 특정 단계가 있습니다. 다음은 AWS 클라우드 계정을 멀티 클라우드 방어 컨트롤러에 연결하기 전에 수행해야 하는 사전 요건 단계입니다. 이는 작업의 개요를 제공하기 위한 것이며 수동으로 수행할 수 없습니다. CloudFormation 섹션에 구축 세부 정보 및 매개변수 정보가 있습니다.
단계 개요
-
멀티 클라우드 방어 컨트롤러에서 사용하는 교차 계정 IAM 역할을 생성하여 클라우드 계정을 관리합니다.
-
계정에서 실행되는 멀티 클라우드 방어 게이트웨이 EC2 인스턴스에 할당될 IAM 역할을 생성합니다.
-
관리 이벤트를 멀티 클라우드 방어 컨트롤러(으)로 전송하는 CloudWatch 이벤트 규칙을 생성합니다.
-
관리 이벤트 전송을 수행할 권한을 제공하는 위의 CloudWatch 이벤트 규칙에서 사용하는 IAM 역할을 생성합니다.
-
필요에 따라 계정에 S3 버킷을 생성하여 CloudTrail 이벤트, Route53 DNS 쿼리 로그 및 VPC 플로우 로그를 저장할 수 있습니다.
-
대상을 위에서 생성한 S3 버킷으로 하여 Route53 DNS 쿼리 로깅을 활성화하고 쿼리 로깅을 활성화해야 하는 VPC를 선택합니다.
-
CloudTrail을 활성화하여 모든 관리 이벤트를 위에서 생성한 S3 버킷에 로깅합니다.
-
위에서 생성한 대상이 S3 버킷인 VPC 플로우 로그를 활성화합니다.
VPC 설정
멀티 클라우드 방어 게이트웨이 인스턴스에는 가용성 영역당 2개의 보안 그룹과 2개의 서브넷이 필요합니다. 이는 애플리케이션과 동일한 VPC에 멀티 클라우드 방어 게이트웨이을(를) 구축하려는 경우에만 필요합니다.
VPC 리소스의 세부 정보
Subnets(서브넷)
멀티 클라우드 방어 구축에 필요한 2개의 서브넷은 management 및 datapath입니다. 게이트웨이 구축 중에 컨트롤러에서는 이러한 서브넷의 이름을 제공하도록 요청합니다. 각 가용성 영역에는 이러한 2개의 서브넷이 필요합니다.
관리 서브넷은 퍼블릭 서브넷이며 인터넷 게이트웨이에 대한 기본 경로가 있는 라우트 테이블과 연결되어야 합니다. 멀티 클라우드 방어 게이트웨이 인스턴스에는 컨트롤러와의 통신을 위해 이 서브넷에 연결된 네트워크 인터페이스가 있습니다. 이는 컨트롤러와 게이트웨이 간의 정책 가져오기 및 기타 관리 및 원격 측정 활동에 사용됩니다. 고객 애플리케이션 트래픽은 이 인터페이스/서브넷을 통과하지 않습니다. 인터페이스는 관리 보안 그룹과 연결됩니다(아래 섹션에서 설명).
데이터 경로 서브넷은 퍼블릭 서브넷이며, 인터넷 게이트웨이에 대한 기본 경로가 있는 라우트 테이블과 연결되어야 합니다. 멀티 클라우드 방어 컨트롤러은(는) 이 서브넷에 네트워크 로드 밸런서를 생성하고 게이트웨이 인스턴스에 이 서브넷에 연결된 네트워크 인터페이스가 있습니다. 고객 애플리케이션 트래픽은 이 인터페이스를 통해 흐릅니다. 멀티 클라우드 방어 게이트웨이 보안 정책은 이 인터페이스를 통해 인그레스하는 트래픽에 적용됩니다. 인터페이스는 datapath(데이터 경로) 보안 그룹과 연결됩니다(아래 섹션에서 설명).
보안 그룹
관리 및 데이터 경로 보안 그룹은 위에서 설명한 대로 게이트웨이 인스턴스의 인터페이스에 연결됩니다.
관리 보안 그룹은 게이트웨이 인스턴스가 컨트롤러와 통신할 수 있도록 아웃바운드 트래픽을 허용해야 합니다.
데이터 경로 보안 그룹은 데이터 경로 인터페이스에 연결되며 게이트웨이 인스턴스로의 트래픽을 허용합니다. 현재 이 보안 그룹은 컨트롤러에서 관리하지 않습니다. 이 인터페이스의 트래픽 이그레스를 허용하는 아웃바운드 규칙이 있어야 합니다. 멀티 클라우드 방어 보안 정책에서 구성하는 각 포트에 대해 인바운드 포트를 열어야 합니다. 예를 들어 포트 443에서 수신하도록 멀티 클라우드 방어 서비스를 구성하는 경우에는 데이터 경로 보안 그룹에서 포트 443을 열어야 합니다.
CloudFormation 템플릿
신규 또는 "녹색 필드" 구축의 경우 이 CloudFormation 템플릿을 실행합니다. 이 템플릿은 테스트 애플리케이션용 EC2를 생성할 수 있는 추가 옵션도 제공합니다. CFT에 사용되는 매개변수에 대한 설명은 아래의 세부 정보를 참조하십시오.
-
VPC
-
인터넷 게이트웨이로 이동하여 VPC에 연결합니다.
-
관리 서브넷 가용성 영역 1.
-
인터넷 게이트웨이에 대한 기본 경로를 사용하여 관리 서브넷 가용성 영역 1에 연결된 관리 경로 테이블 가용성 영역 1입니다.
-
관리 서브넷 가용성 영역 2.
-
인터넷 게이트웨이에 대한 기본 경로를 사용하여 관리 서브넷 가용성 영역 2에 연결된 관리 경로 테이블 가용성 영역 2입니다.
-
데이터 경로 서브넷 가용성 영역 1.
-
인터넷 게이트웨이에 대한 기본 경로를 사용하여 데이터 경로 서브넷 가용성 영역 1에 연결된 데이터 경로 라우트 테이블 가용성 영역 1입니다.
-
데이터 경로 서브넷 가용성 영역 2.
-
인터넷 게이트웨이에 대한 기본 경로를 사용하여 데이터 경로 서브넷 가용성 영역 2에 연결된 데이터 경로 라우트 테이블 가용성 영역 2입니다.
-
앱 서브넷 가용성 영역 1.
-
인터넷 게이트웨이에 대한 기본 경로를 사용하여 앱 서브넷 가용성 영역 1에 연결된 앱 라우트 테이블 가용성 영역 1입니다.
-
앱 서브넷 가용성 영역 2.
-
인터넷 게이트웨이에 대한 기본 경로를 사용하여 앱 서브넷 가용성 영역 2에 연결된 앱 라우트 테이블 가용성 영역 2입니다.
-
아웃바운드 규칙이 있는 관리 보안 그룹을 통해 트래픽을 허용합니다.
-
포트 80 및 443에 대한 트래픽 아웃 및 인바운드 규칙을 허용하는 아웃바운드 규칙이 포함된 데이터 경로 보안 그룹입니다.
-
22, 80, 443, 8000 포트에 대한 트래픽 아웃 및 인바운드 규칙을 허용하는 아웃바운드 규칙이 있는 앱 보안 그룹입니다.
-
CentOS를 기반으로 하는 기본 멀티 클라우드 방어 이미지를 사용하여 앱 서브넷에 EC2 인스턴스를 생성합니다. 필요한 경우 고유한 AMI를 선택할 수 있습니다.
서브넷은 두 개의 가용성 영역에서 생성되므로 여러 가용성 영역에서 멀티 클라우드 방어 게이트웨이와 앱을 작동할 수 있습니다.
이 템플릿을 여러 번 실행하여 중앙 집중식 보안(허브) 구축 아키텍처를 위해 AWS Transit Gateway에 연결할 수 있는 여러 VPC를 생성할 수 있습니다.
CloudFormation 매개변수
-
Stack Name(스택 이름) - 스택의 이름을 제공합니다(예: 멀티 클라우드 방어-dp-resources).
-
Prefix(접두사) - 모든 리소스의 이름 태그에 적용할 접두사입니다(예: 멀티 클라우드 방어).
-
멀티 클라우드 방어 리소스 생성 - 예/아니요. Yes(예)를 선택하면 mgmt/dp 서브넷, mgmt/dp 보안 그룹이 생성됩니다. No(아니요)를 선택하면 이러한 리소스가 생성되지 않습니다.
-
Create Bastion Host(배스티온 호스트 생성) - 앱 VM에 SSH를 사용하는 데 사용할 수 있는 배스티온 호스트(앱 VM은 이미 공인 IP를 가지고 있으며 인터넷 게이트웨이에 대한 경로를 가지고 있습니다. 나중에 이 경로를 삭제하면 VM을 비공개로 설정할 수 있습니다. 배스티온 호스트를 사용하여 이러한 VM에 SSH할 수 있습니다).
-
VPC CIDR - VPC의 CIDR.
-
Subnet Mask Bits(서브넷 마스크 비트) - 각 서브넷에 사용할 비트 수입니다. 이는 서브넷 마스크가 아닙니다. VPC CIDR에 /16이 있고 서브넷의 마스크 /24를 원하는 경우 비트에 8을 선택합니다. VPC CIDR 마스크에 여기에 있는 값을 더해 서브넷 마스크를 구성합니다.
-
가용성 영역 1 및 영역 2 - 가용성 영역을 선택합니다.
-
AMI for App Instance(앱 인스턴스용 AMI) - 멀티 클라우드 방어-기본 AMI는 us-east1, us-east2, us-west1 및 us-west2에서 사용할 수 있습니다. 도커가 포함된 CentOS 7 및
Hello World
애플리케이션 샘플입니다. 자체 AMI 또는 지역의 다른 AMI를 제공할 수 있습니다. -
Instance Type(인스턴스 유형) - 옵션을 선택합니다. 선택 사항이 제한된 경우 CloudFormation 템플릿을 다운로드하고 편집하여 새 선택 사항을 추가할 수 있습니다.
-
EC2 Key Pair(EC2 키 쌍) - EC2 인스턴스에 연결할 SSH 키 쌍을 선택합니다.