2 네트워크 격리 및 접근제어

vpc를 보안관점으로 뜯어보면 네트워크 보호의 시작 vpc (virtual private cloud) private network

aws 특정 iam user랑

보안그룹 (security group) 인스턴스 단위 상태 저장(stateful) 동적 구성 최소 권한 원칙

네트워크 접근 제어 리스트 (NACL) network access control list 서브넷 단위 상태 비저장(stateless) 최소 권한 원칙 보안그룹을 보안 디도스 공격이 들어올때 서브넷단위로 막아준다

vpc 보안계층 security group & NACL

vpc 엔드포인트

gateway endpoints s3, dynamoDB managed prefix 라우팅 최적화 internet endpoints kinesis datastream, glue 외 private ENI endpoint service(aws privateLink)

장점 보안, 비용, NACL를 태우는것보다 저렴 트래픽 처리 비용 비쌈 vpc prefix list

트래픽 모니터링 -vpc flow log

network reachability analyzer(network manager)

• 한 vpc 내의 두 엔드포인트 또는 여러 vpc 내의 엔드포인트 간에 연결 가능성 문제를 해결하는 네트워크 진단 도구
• 소스와 대상 사이의 가상 네트워크 경로에 대한 홉별 세부 정보를 생성
• 대상에 연결할 수 없는 경우 차단 구성 요소를 식별