반응형
Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 | 31 |
Tags
- ECS
- saa-c03
- fargate
- CI/CD
- devops
- CICD
- devop
- VPN
- client-vpn
- secretmanager
- docker-compose
- VPC
- DevSecOps
- security
- IAC
- docker
- git
- kubernetes
- docekr
- eks
- zerotrust
- cloud
- cloud trail
- 보안
- cloiud
- Network
- KISA
- 클라우드 보안
- AWS
- Container
Archives
- Today
- Total
Devsecops로 발전하는 엔지니어
🔐 클라우드 보안의 첫걸음: AWS Site-to-Site VPN 쉽게 이해하기 본문
cloud
🔐 클라우드 보안의 첫걸음: AWS Site-to-Site VPN 쉽게 이해하기
cloud/devops/opensource 관심 많은 곰 2025. 6. 15. 17:31반응형
🌐 AWS Site-to-Site VPN 개념 정리
클라우드와 온프레미스 환경을 연결할 때 보안 연결을 제공하는 AWS의 대표적인 네트워크 서비스가 바로 Site-to-Site VPN입니다. 이 글에서는 AWS Site-to-Site VPN의 구성 요소, 핵심 개념, 기능, 제약 사항 등을 정리합니다.
.
🔐 Site-to-Site VPN이란?
Site-to-Site VPN은 고객의 온프레미스 네트워크와 AWS VPC 간에 안전한 암호화된 연결을 제공하는 서비스입니다. 이를 통해 AWS 리소스에 내부망처럼 안전하게 접근할 수 있습니다.
🧱 주요 구성 요소
구성 요소 설명
| VPN 연결 | 온프레미스와 AWS VPC 간 보안 연결을 의미합니다. |
| VPN 터널 | 암호화된 링크로, VPN 연결에는 이중 터널이 생성되어 고가용성을 보장합니다. |
| 고객 게이트웨이 (Customer Gateway) | 고객 측 디바이스에 AWS VPN 연결 정보를 제공하는 AWS 리소스 객체입니다. |
| 고객 디바이스 | 실제로 고객 측에 설치된 VPN 장비 또는 소프트웨어를 의미합니다. |
| Target Gateway | Amazon 측 VPN 엔드포인트의 일반적인 용어입니다. |
| Virtual Private Gateway (VGW) | 단일 VPC에 연결 가능한 기본적인 VPN 엔드포인트입니다. |
| Transit Gateway (TGW) | 여러 VPC와 온프레미스를 연결하는 중앙 허브 역할의 VPN 엔드포인트입니다. |
⚙️ Site-to-Site VPN 기능
- NAT Traversal 지원 , IKEv2 기반 연결, CloudWatch 모니터링 연동, AES-256 암호화
- 터널 옵션 구성 가능, BGP 세션 구성, 사용자 지정 프라이빗 ACM/CA인증서 지원
⚠️ 제한 사항
- IPv6 지원 불가, MTU 자동검색 지원 불가
- CIDR 블록 겹칠 경우 사용불가 하기에 CIDR 블록을 중복되지 않게 설정 해야함
🧰 관리 도구 (리소스)
| AWS Management Console | 웹 기반 UI로 VPN 생성 및 상태 확인 가능 |
| AWS CLI / SDK | 스크립트 또는 코드로 VPN 생성·삭제·조회 처리 가능 |
🧰 구성 요소
🧩 가상 프라이비 게이트웨이(Virtual Private Gateway) 구성
- VPN연결의 AWS 측 엔드포인트 역할을 수행
- 연결 대상 VPC와 연결되어야 하며, VPN 접속이 가능한 리소를 포함 한다.
- 생성 시 ASN( Autonomous System Number) 지정 가능하며 지정 하지 않으면 기본값인(64512)로 설정 되며, 한 번 생성된 ASN은 변경이 불가능 하다.
주요 터널 옵션 항목 요약
항목 설명 기본값
| 항 목 | 설 명 | 기본값 |
| DPD 시간 초과 | Dead Peer Detection 비활성 판정 시간 | 40초 이상 |
| DPD 동작 방식 | Clear, None, Restart 중 선택 | Clear |
| VPN 로그 포맷 | IPsec, IKE, DPD 메시지 로그 | json, text |
| IKE 버전 | IKEv1, IKEv2 중 선택 가능 | ikev1, ikev2 |
| 내부 터널 IPv4 CIDR | 터널 내부 IP 주소 (AWS ↔ 고객) | 169.254.0.0/16 중 /30 블록 |
| 내부 터널 IPv6 CIDR | (IPv6용) 터널 내부 주소 | fd00::/8 중 /126 블록 |
| 로컬/원격 IPv4 CIDR | IKE 2단계 협상 중 교환되는 CIDR 범위 | 0.0.0.0/0 |
| 로컬/원격 IPv6 CIDR | IPv6 터널용 협상 범위 | ::/0 |
| DH 그룹 (1단계) | IKE 1단계 사용 DH 그룹 | 2, 14–24 |
| DH 그룹 (2단계) | IKE 2단계 사용 DH 그룹 | 2, 5, 14–24 |
| 암호화 알고리즘 | AES128, AES256, AES-GCM 등 | 여러 개 지정 가능 |
| 무결성 알고리즘 | SHA1, SHA2-256~512 | 여러 개 지정 가능 |
| 1단계 수명 | IKE 1단계 재키 기간 (초) | 28,800 (8시간) |
| 2단계 수명 | IKE 2단계 재키 기간 (초) | 3,600 (1시간) |
| 사전 공유 키 (PSK) | VPN 터널 보안 키 (8~64자) | 무작위 32자 |
| 퍼지 교체율 | 키 재지정 시간의 퍼센트 오차 | 100% |
| 마진 시간 (재키 전) | 재키 마진 시간 (초) | 270초 (4.5분) |
| 재생 창 크기 | IKE 재생 패킷 수 | 1024 |
| 시작 동작 | AWS 시작 (Start) 또는 고객 시작 (Add) | Add |
| 엔드포인트 수명 주기 제어 | 자동 교체 스케줄 | Off |
📝참고 사항
- IKE 버전과 암호화 알고리즘은 고객 VPN 디바이스와 호환되는 버전을 선택 해야한다.
- DPD 설정은 장비 간 연결 안정성을 높이는 데 필수 이다.
- CIDR 블록은 중복되지 않도록 주의해야 하며, 일부 예약된 IP는 사용 할 수 없다.
- 재키 수명값, 마진 퍼지 교체율은 터널이 불안정해 지는 원인이 될 수 있으므로 권장 기본값 사용을 권장한다.
🔜 다음 포스팅 예고: Transit Gateway로 확장하는 AWS 네트워크 아키텍처
Site-to-Site VPN은 단일 VPC와 온프레미스 간의 보안 연결에 적합한 방식입니다.
하지만 다수의 VPC, 멀티 리전, 하이브리드 클라우드 환경까지 고려한다면 보다 중앙 집중적이고 유연한 네트워크 연결 방식이 필요합니다.
다음 포스팅에서는 바로 이 역할을 수행하는 AWS Transit Gateway에 대해 소개할 예정입니다.
반응형
'cloud' 카테고리의 다른 글
| 🔐 AWS Client VPN 을 이용한 온프레미스 연결 (0) | 2025.06.23 |
|---|---|
| 🔐 AWS Transit Gateway를 활용한 Site-to-Site VPN 연결 개요 (0) | 2025.06.16 |
| Aws site-to-stie 도입 전 내용 정리 (1) | 2025.06.12 |
| Aws cloud trail 이란? (0) | 2025.04.09 |
| Aws 자격증 취득 위한 스터디 (0) | 2025.03.19 |
'cloud' Related Articles
more
