BLOG

기본 AWS 서비스를 사용하여 VMware Cloud on AWS에서 워크로드 보호하기
작성일: 2020-02-26

최근 VMware Cloud on AWS 출시에 따라, 아마존 EC2 서비스에서 제공하는 특별한 베어 메탈 하드웨어 위에 설치된 VM웨어 관리 소프트웨어 정의 데이터 센터 (SDDC) 클러스터에서 워크로드를 실행할 수 있습니다.

 

VMware Cloud on AWS는 VMware의 SDDC를 AWS 클라우드에서도 제공합니다. VMware는 클라우드 마이그레이션 및 클라우드 이식성에 대한 장벽을 제거하고 IT 효율성을 높이며 하이브리드 클라우드 환경을 활용할 새로운 기회를 제공하는 탄력적이고 확장 가능한 주문형 클라우드 서비스로 VMware에서 제공, 판매 및 지원합니다. 이 서비스는 현재 AWS 미국 서부 (오레곤), 미국 동부 (버지니아 북부) 및 유럽 런던 지역, 푸랑크푸르트, 호주 시드니, 싱가포르, 인도, 일본 도쿄, 한국 서울 등에서 사용할 수 있습니다.

 

오늘 블로그 포스팅은 VMware Cloud on AWS의 워크로드 보안 솔루션에 대해 다루어 볼 예정입니다. SDDC 클러스터에서 실행되는 VMware 워크로드는 애플리케이션 설정을 최소한으로 변경하지 않고도 다양한 수준의 AWS 네트워크 및 애플리케이션 보호 기능을 활용할 수 있습니다.

 

아키텍처 목표

이 솔루션은 세 가지 주요 목표에 중점을 둡니다.

 

1. 중앙 집중식 안전한 외부 응용 프로그램 액세스 제공
2. 고급 애플리케이션 보호와 함께 분산 사용자를 위한 컨텐츠 제공 가속화 및 최적화
3. 가시성을 높이고 더 나은 통찰력을 얻기 위한 데이터 분석 환경 제공

 

Application Load Balancer를 단일 관리 지점으로 활용하여 고객 관리 가상 사설 클라우드 (VPC) 및 SDDC 클러스터에서 실행되는 워크로드에 트래픽을 분배합니다.

그림 1 은 오른쪽의 VMware 관리 SDDC 클러스터에서 실행되는 샘플 애플리케이션이 포함된 전체 솔루션을 보여줍니다. 클러스터는 VMware가 소유하고 운영하는 단일 테넌트 VPC의 특수 베어 메탈 Amazon EC2 인스턴스 (i3p.16xlarge)에서 실행됩니다. 가장 작은 SDDC 클러스터 크기는 4 개의 노드로 시작하며 최대 32개의 노드로 확장할 수 있으며 향후 용량은 최대 64개의 클러스터 노드로 확장할 수 있습니다.

각 호스트에는 vCPU 64 개, 512GB 메모리 및 14TB 원시 스토리지 (vSAN 캐싱 및 메타 데이터 후 10.4TB의 사용 가능한 용량)가 있습니다. NSX 플랫폼은 Amazon EC2 위에 오버레이 네트워크를 구축하여 논리적 고객 네트워크를 생성하고 SDDC 경계 내에서 연결을 관리합니다.

그림 1 – 오른쪽의 VMware SDDC에서 실행되는 샘플 애플리케이션과 고객 VPC의 세 번째 애플리케이션이 모두 단일 ALB 인스턴스로 시작하는 전체 솔루션.

 

SDDC 생성 프로세스의 일부로 고객은 VPC 워크로드 및 기타 AWS 서비스와 통합하기 위해 관리되는 VPC에 대한 네트워크 매핑을 생성해야 합니다. 이 매핑은 고객의 VPC에서 작동하는 향상된 네트워크 어댑터에서 제공되며 동서 트래픽 (VPC에서 SDDC 워크로드)을 위해 연결된 SDDC에 설치된 NSX Edge 장치에서 사용됩니다.

 

이제 세 가지 아키텍처 목표를 달성한 방법에 대해 자세히 알아보겠습니다.

 

  1. 외부 애플리케이션에 대한 안전하고 중앙 집중식 액세스

 

AWS는 애플리케이션 장애 내구성에 필요한 고가용성, 자동 확장 및 강력한 보안 기능을 갖춘 3가지 유형의 로드 밸런서를 제공합니다. Application Load Balancer를 단일 관리 지점으로 사용하여 고객 관리 VPC 및 SDDC 클러스터에서 실행되는 워크로드에 트래픽을 분배했습니다.

Application Load Balancer는 인터넷과 그 뒤에 있는 워크로드 간의 방어선 역할을 합니다. 특정 AWS 리전 내에서 예상치 못한 트래픽 양을 처리하도록 DDoS 복원력 및 확장을 구축하는 데 도움이 되는 서비스 중 하나입니다.

 

Application Load Balancer는 유효한 TCP 연결만 지원하므로 UDP 및 SYN 서비스 장애와 같은 DDoS 공격은 밸런서 뒤의 보호된 리소스에 도달할 수 없습니다. 또한, AWS Certificate Manager (ACM) 서비스에서 생성한 인증서 또는 사용자 지정 인증서를 사용하여 SSL 오프 로딩을 지원합니다.

 

네임 리졸루션은 지연 시간 기반 라우팅, 지리 DNS, 상태 확인 및 모니터링과 같은 많은 고급 기능을 포함하는 고가용성 및 확장 가능한 DNS 서비스인 Amazon Route 53에서 제공합니다. Route53은 셔플 샤딩, 애니 캐스트 스트핑, 그리고 DDoS 완화를 위해 AWS 쉴드와의 통합을 사용합니다.

 

그림2 설계상, 단일 Application Load Balancer 인스턴스가 트래픽을 두 환경에서 다른 애플리케이션으로 라우팅하는 방법을 보여주기 위해 SDDC에서 실행되는 두 개의 애플리케이션과 고객의 VPC에서 실행되는 세 번째 애플리케이션이 있습니다. Application Load Balancer는 호스트 헤더 값을 기반으로 트래픽을 적절한 대상 그룹으로 라우팅하기 위한 여러 규칙이 있는 단일 HTTPS 443 리스너로 구성됩니다.

 

그림 2 – 도메인 이름 별 수신 트래픽을 적절한 대상 그룹으로 라우팅하는 규칙이 있는 Application Load Balancer의 호스트 기반 라우팅 설정

 

각 대상 그룹은 특정 애플리케이션을 가리키며 EC2 인스턴스 및 IP 기반 대상을 지원합니다. 우리는 첫 번째 VPC 앱을 사용했고 후자를 사용하여 SDDC 클러스터에서 직접 대상을 추가했습니다. IP 기반 라우팅은 Application Load Balancer의 새로운 기능입니다그림 2 는 Application Load Balancer의 호스트 기반 라우팅 설정을 통해 도메인 이름 별 수신 트래픽을 적절한 대상 그룹으로 라우팅하는 규칙을 보여줍니다.

 

  1. 고급 애플리케이션 보호를 통해 분산 사용자를 위한 컨텐츠 제공 가속화 및 최적화

 분산 사용자는 네트워크 대기 시간이 길고 데이터가 상주하는 처리량으로 인해 콘텐츠 전송 속도가 느리고 경험이 열악할 수 있습니다. 이를 해결하기 위해 Amazon CloudFront 를 사용하여 콘텐츠 전송을 가속화하고 최적화했습니다. Application Load Balancer와 마찬가지로 CloudFront는 SSL 종료를 지원하고 올바르게 구성된 연결만 허용합니다. 인프라에 대한 공격을 지리적으로 소스에 더 가깝게 격리한 다음 DDoS 공격을 흡수하도록 확장함으로써 많은 일반적인 DDoS 공격을 방지할 수 있습니다.

 

또한, CloudFront는 SQL 주입 및 사이트 간 스크립팅 공격과 같은 일반적인 웹 익스플로잇에 대해 AWS WAF for L7 공격 완화와 통합하여 애플리케이션 보호 계층을 추가합니다.

 

우리 솔루션에는 Origin HTTPS 연결만 지원하는 Application Load Balancer 포함된 CloudFront를 제공하고 있습니다. WAF 구성을 위해 AWS WAF Security Automations에 설명된 완전한 자동화 솔루션을 사용했습니다.

 

이 솔루션은 일반적인 SQL 주입 및 XSS 공격을 차단하기 위해 기본 AWS WAF 규칙을 추가합니다. AWS Lambda 함수를 사용하여 단일 IP의 높은 요청 또는 오류와 같은 의심스러운 활동을 찾는 CloudFront 액세스 로그를 자동으로 구문 분석한 다음 소스 주소를 자동으로 차단합니다. 두 번째 기능은 타사 평판 목록의 정보를 활용하여 악성 IP 주소의 요청을 차단합니다. 이 통합은 그림 3에  설명되어 있습니다.

 

 

그림 3 – AWS Lambda for Amazon CloudFront 로그 구문 분석 및 IP 평판 필터링을 사용하는 AWS WAF 자동화 솔루션.

 

  1. 가시성을 높이기 위해 데이터 분석 기능 제공

로그 수집 및 분석은 응용 프로그램 동작을 이해하고 문제를 해결하며 비정상적인 활동을 식별하는 중요한 방법입니다. 이 섹션에서는 솔루션에서 활용할 수 있는 다양한 인프라 및 애플리케이션 로그에 대해 설명합니다.

 

  • Amazon VPC 흐름 로그는 Amazon VPC의 네트워크 인터페이스를 오가는 IP 트래픽에 대한 정보를 캡처합니다. 정보에는 IP, 프로토콜, 패킷 수, 바이트, 타임 스탬프 및 수행된 작업이 포함됩니다.
  • Application Load Balancer 는 요청에 대한 자세한 정보를 캡처합니다. 각 로그에는 요청을 받은 시간, 클라이언트 IP, 대기 시간, 요청 경로 및 서버 응답과 같은 정보가 포함됩니다.
  • Amazon CloudFront는 날짜, 시간, 엣지 로케이션, 바이트 수, 클라이언트 IP, HTTP 방법 및 HTTP 상태 코드와 같은 데이터를 수신하는 모든 사용자 요청에 대한 자세한 정보를 제공합니다.
  • AWS CloudTrail 은 AWS Management Console, AWS SDK (Software Development Kits), command line tools및 기타 서비스를 통해 수행된 작업을 포함하여 AWS 계정 활동의 이벤트 기록을 제공합니다.
  • Amazon EC2 애플리케이션의 경우 CloudWatch 에이전트를 사용하여 Amazon CloudWatch Logs에서 Linux 또는 Windows Server를 실행하는 인스턴스의 로그 데이터를 게시할 수 있습니다.
  • SDDC 애플리케이션의 경우 Amazon Kinesis Firehose 에이전트를 사용하여 로그를 수집하고 보낼 수 있습니다. Kinesis Firehose는 Amazon S3와 같은 대상으로 실시간 스트리밍 데이터를 제공하기 위해 완벽하게 관리되는 서비스입니다.

 

모든 로그에는 요청자의 주소에 대한 정보가 포함되므로 인프라 및 애플리케이션에 액세스하는 실제 위치를 학습하면 액세스 패턴을 분석하고 의심스러운 활동을 식별하는 데 도움이 될 수 있습니다. 로그에 GeoIP 메타 데이터를 추가하는 방법에는 여러 가지가 있습니다.

 

이 솔루션에서는 AWS Lambda와 함께 서버리스 방식을 사용하여 로그를 단일 형식으로 변환하고 Geo IP 조정을 추가하여 데이터를 보강했습니다. 그림 4 는 다양한 로그 소스에서 변환 및 데이터 보강을 위한 AWS Lambda로의 데이터 흐름, 장기 스토리지를 위한 Amazon S3, 두 가지 데이터 분석 접근 방식을 보여줍니다.

 

그림 4 – 변환 및 데이터 보강을 위해 서로 다른 로그 소스에서 AWS Lambda로의 데이터 흐름, 장기 스토리지를 위한 Amazon S3, 두 가지 데이터 분석 방식.

 

그런 다음 강화된 데이터는 로그 보존 요구 사항을 충족하는 데 필요한 수명주기 정책과 함께 Amazon S3에 저장됩니다. 여기에서 로그 데이터를 분석하는 두 가지 방법을 제안합니다.

 

먼저 Kinesis Firehose를 사용하여 로그 관리, 전체 텍스트 검색, 실시간 애플리케이션 모니터링 및 클릭 스트림 분석과 같은 사용 사례를 위해 AWS 관리 Elasticsearch Service 클러스터로 다양한 데이터를 추출하세요. 시각화 및 탐색을 위해 관리되는 Elasticsearch 도메인에 포함된 내장 Kibana 엔드 포인트를 활용합니다.

 

그런 다음 Amazon Athena로 즉시 데이터 분석을 시작하세요. Amazon S3에 저장된 데이터와 직접 작동하므로 Athena에 데이터를 로드할 필요가 없습니다. Athena는 빠른 임시 쿼리에 이상적이며 Amazon QuickSight와 통합되어 서버를 설정하거나 관리할 필요 없이 손쉬운 시각화가 가능합니다.

 

분석 요구 사항에 따라 이러한 방법 중 하나 또는 둘 다를 선택할 수 있습니다. 로그 보강 및 데이터 분석 서비스를 위해 AWS Lambda 기능을 프로비저닝하기 위한 자동화된 프로세스를 이 템플릿에서 시작할 수 있습니다.

 

추가 자료

AWS에는 VMware Cloud on AWS가 제공하는 SDDC 클러스터에서 실행되는 워크로드에서 활용할 수 있는 풍부한 보안, 네트워크, 스토리지 및 기타 서비스 포트폴리오가 있습니다. 이러한 기능을 통해 고객은 VPC 및 SDDC 환경에서 실행되는 애플리케이션에 대한 외부 액세스를 통합하고 최종 사용자와 더 가까운 인프라 에지에서 고급 수준의 애플리케이션 보호를 구축할 수 있습니다.

 

AWS와 VMware 환경 간의 긴밀한 통합을 통해 하이브리드 플랫폼 기능으로 애플리케이션의 보안, 가용성 및 안정성을 향상할 수 있습니다.

 

추가 자료 및 시작하기:

 

 

보기:  VMworld 2017에서 AWS의 VMware Cloud와 AWS 기본 통합

 

 


원문 URL: https://aws.amazon.com/ko/blogs/apn/securing-workloads-on-vmware-cloud-on-aws-using-native-aws-services/

 

** 메가존 클라우드 TechBlog는 AWS BLOG 영문 게재 글 중에서 한국 사용자들에게 유용한 정보 및 콘텐츠를 우선적으로 번역하여 내부 엔지니어 검수를 받아서, 정기적으로 개제하고 있습니다. 추가로 번역 및 게재를 희망하는 글에 대해서 관리자에게 메일 또는 SNS 페이지에 댓글을 남겨주시면, 우선적으로 번역해서 전달드리도록 하겠습니다.