AIWAF-VE와 AWS Gateway Load Balancer(GWLB)의 완전한 통합 | MONITORAPP

Blog

Get the latest cybersecurity news

블로그 메인페이지로 돌아가기

AIWAF-VE와 AWS Gateway Load Balancer(GWLB)의 완전한 통합

 

안녕하세요 모니터랩 입니다.

오늘은 AWS에서 제공하는 다양한 Load Balancer들에 대해 간략히 알아보고,

그중 특히 GWLB에 대해 자세히 설명해 드리겠습니다.

 

AWS의 다양한 Load Balancer service

AWS에서는 다양한 로드 밸런서 서비스를 제공하여 트래픽을 분산시키고

안정성 및 확장성을 향상시키는 데 도움을 줍니다.

 

주요 로드 밸런서 종류는 다음과 같습니다:

 

Classic Load Balancer (CLB)

 

 

가장 기본적이고 전통적인 로드 밸런서로 HTTP, HTTPS, TCP 트래픽을 분산시키며,

전통적인 웹 애플리케이션 및 네트워크 트래픽 분산에 사용됩니다.

 

Network Load Balancer (NLB)

 

 

OSI 계층 4에서 동작하는 로드 밸런서로, TCP 및 UDP 트래픽을 분산시킵니다.

고성능 및 저렴한 비용이 특징입니다.

주로, TCP, UDP 기반의 빠른 성능이 필요한 애플리케이션에 적합합니다.

 

Application Load Balancer (ALB)

 

 

OSI 계층 7에서 동작하는 로드 밸런서로, HTTP 및 HTTPS 트래픽을 기반으로 한

라우팅 및 특정 애플리케이션 레벨의 기능을 제공하여,

모던 웹 애플리케이션, 마이크로 서비스 아키텍처에 적합합니다.

 

Gateway Load Balancer (GWLB)

 

 

OSI 계층 3에서 동작하며, IP 트래픽을 처리합니다.

여러 가용 영역에서 확장 가능한 구성이 가능하여, 대규모의 IP 기반 워크로드에 적합하고,

VPN, Direct Connect 등을 위한 게이트웨이 역할을 수행합니다.

 

 

Gateway Load Balancer (GWLB) 란?

 

 

AWS Gateway Load Balancer (GWLB)는 OSI 계층 3에서 동작하는 로드 밸런서로,

IP 트래픽을 효과적으로 관리하고 여러 가용 영역에 걸쳐 대규모의 워크로드를 분산시킬 수 있습니다.

특히 GWLB는 클라이언트의 실제 IP 주소를 유지하는 기능을 제공하여

보안 솔루션에서 클라이언트의 IP 주소를 추적해야 할 필요성에 대응합니다.

 

Layer 3 로드 밸런싱

GWLB는 IP 주소 및 포트 수준에서 트래픽을 분산시키는데,

이는 OSI 계층 3에서의 로드 밸런싱을 의미합니다.

 

고가용성 및 확장성

GWLB는 여러 가용 영역에 걸쳐 확장 가능하며,

고가용성을 제공하여 애플리케이션의 신뢰성을 향상시킵니다.

 

VPN 및 Direct Connect 통합

GWLB는 VPN 및 AWS Direct Connect와 통합되어

하이브리드 클라우드 환경에서의 확장성 있는 네트워크 아키텍처를 제공합니다.

 

보안 및 모니터링

AWS WAF(Web Application Firewall), AWS Shield, VPC Flow Logs 등과 통합되어

보안 및 모니터링을 강화할 수 있습니다.

 

 

GENEVE를 비롯한 Encapsulation 프로토콜의 역할

 

GENEVE 프로토콜을 비롯하여 네트워크에는 다양한 Encapsulation 프로토콜이 존재합니다.

Encapsulation은 네트워크 통신에서 필수적인 개념으로,

데이터의 안전한 전송과 네트워크의 효율적인 관리를 지원하여

보안 및 상호 운용성을 강화하는 데 중요한 역할을 합니다.

 

데이터 캡슐화

Encapsulation은 데이터를 패킷으로 캡슐화하여 안전한 전송을 보장합니다.

이로써 데이터의 무결성이 유지되고 중간에 개입되지 않도록 합니다.

 

보안 강화

보안 측면에서 Encapsulation은 데이터를 안전하게 전송함으로써

네트워크에서의 통신 보안을 강화합니다.

특히 VPN(Virtual Private Network) 연결에서는 Encapsulation이 중요한 역할을 합니다.

 

다양한 네트워크 환경 통합

Encapsulation은 서로 다른 네트워크 환경을 하나로 통합하는 데 사용됩니다.

다양한 프로토콜과 기술을 통합함으로써 다양한 네트워크 간의 상호 운용성을 지원합니다.

 

클라이언트 식별

일반적인 Encapsulation 프로토콜은 클라이언트의 실제 IP 주소를 유지하여,

보안 솔루션에서 클라이언트를 식별하는 데 사용됩니다.

이는 클라이언트 관리 및 보안 정책 적용에 도움이 됩니다.

 

 

종류

 

Generic Routing Encapsulation (GRE)

GRE는 IP 패킷을 캡슐화하여 다른 네트워크로 터널링 하는 역할을 합니다.

다양한 네트워크 간의 통신을 지원하며, 가상 사설망(VPN)에서 자주 활용됩니다.

 

Virtual Extensible LAN (VXLAN)

VXLAN은 가상 머신 간의 통신을 위한 가상 네트워크를 생성하는 역할을 합니다.

확장 가능한 네트워크 아키텍처를 지원하여 가상 머신 및

컨테이너 기반의 환경에서 효율적인 운영을 지원합니다.

 

Generic Network Virtualization Encapsulation (GENEVE)

GENEVE는 가상화된 네트워크 환경에서의 통신을 위한 캡슐화 프로토콜로 사용됩니다.

유연한 헤더 형식을 제공하여 다양한 네트워크 환경과 서비스에 대응할 수 있습니다.

터널링, 가상화, 다중 프로토콜 지원 등의 기능을 제공하여 네트워크의 다양성과 복잡성에 대응합니다.

 

AIWAF-VE와 Gateway Load Balancer (GWLB)

앞서 언급된 바와 같이,

Virtual APPLIANCE 보안 솔루션을 AWS GWLB와 통합하는 가장 큰 목적은

클라이언트 IP를 식별하고 보안 정책을 적용하기 위함입니다.

Proxy로 동작하는 로드 밸런서를 경유하는 구성에서

트래픽의 출발지 IP는 로드 밸런서의 IP로 변경됩니다.

해당 구성에서 WAF(Web Application Firwall) 솔루션에

동일한 클라이언트 IP(로드밸런서 IP)만 유입되는 경우 발생 가능한 예를 몇 가지 들어 보겠습니다.

 

IP를 기반으로 한 임계치 정책은 사용할 수 없습니다.

또한 신뢰할 수 있는 IP 리스트로 예외 처리도 불가능해집니다.

물론 IP를 대체하기 위한 클라이언트 식별자로서 세션(Cookie) 또는 Fingerprint를 활용할 수 있지만

시스템의 많은 리소스가 소모되며, 아직까지도 많은 솔루션이나 운영 정책의 기준으로서 IP가 주로 활용됩니다.

 

 

MONITORAPP의 AIWAF-VE

 

 

MONITORAPP의 AIWAF-VE는 AWS GWLB와 완전하게 통합됩니다.

클라우드 환경에서 Transparent proxy로 배치되어,

GENEVE 프로토콜에 대해 Decapsulation 및 Encapsulation 을 수행하며,

유사 목적의 프로토콜인 GRE, VXLAN 등의 Encapsulation 프로토콜 또한 지원합니다.

모든 보안 정책 및 로깅은 Decapsulation된 상태에서 처리되어

기존 In-line 운영 모드에서 제공되는 모든 보안 기능과 편의 기능을 AWS GWLB 환경에서도 사용할 수 있습니다.

 

 

AIWAF-VE에 대해 자세히 알고 싶으시다면 아래 링크를 통해 확인해 보실 수 있습니다.

 

https://www.monitorapp.com/ko/waf-ve-kr/

https://aws.amazon.com/marketplace/pp/prodview-aile4raij6obc

 

Scroll Up