온프레미스에서 AWS 리소스에 대한 보안 원격 액세스

Source: Dev.to

현대 AWS 아키텍처는 네트워크를 노출하는 것을 피하고 대신 목적 기반 접근에 중점을 둡니다:

• 애플리케이션 접근
• 관리 접근
• 제어된 네트워크 접근

이 레퍼런스 아키텍처는 온프레미스에서 AWS로의 세 가지 보안 접근 패턴을 다음을 사용하여 보여줍니다:

• AWS Client VPN
• EC2 Instance Connect Endpoint
• AWS Verified Access

각 패턴은 고유한 목적을 가지고 있으며, 교체해서가 아니라 함께 사용해야 합니다.

Architecture Context

VPC에는 다음이 포함됩니다:

• 프라이빗 EC2 인스턴스
• 프라이빗 RDS 데이터베이스
• 내부 애플리케이션 로드 밸런서
• 컴퓨팅을 위한 퍼블릭 서브넷 없음
• 인바운드 SSH 또는 데이터베이스 포트 없음

원격 사용자는 명시적 액세스 서비스를 통해서만 AWS에 진입합니다.

흐름 1: AWS Verified Access를 통한 애플리케이션 액세스

사용 사례

VPN이나 공개 노출 없이 프라이빗 웹 애플리케이션에 대한 보안 액세스.

흐름

주요 특성

• 신원 기반 액세스
• 네트워크 수준 신뢰 없음
• VPC 전체 가시성 없음
• 공용 ALB 필요 없음

Flow 2: Administrative EC2 Access via EC2 Instance Connect Endpoint

Use Case

Secure SSH access to private EC2 instances without bastion hosts or public IPs.

Flow

Key Characteristics

• IAM‑based authentication
• Short‑lived access
• No inbound SSH rules
• Fully auditable

Flow 3: Network‑Level Access via AWS Client VPN

Use Case

Broad access to private AWS resources such as databases, internal APIs, or legacy tools.

Flow

Key Characteristics

• Encrypted tunnel
• Route‑based access
• Subnet‑level reachability
• Works well for legacy workflows

VPN vs Verified Access (언제 어떤 것을 사용할까)

비교 표

간단한 원칙

• 사용자가 네트워크가 필요하면 → VPN
• 사용자가 앱이 필요하면 → Verified Access

이러한 서비스가 함께 작동하는 이유

이러한 계층적 접근 방식은 다음을 보장합니다:

• 과도한 권한 부여 방지
• 명확한 관심사 분리
• 영향을 받는 범위 축소
• 감사 및 규정 준수 용이

강조된 보안 모범 사례

• 퍼블릭 EC2 또는 RDS 인스턴스 없음
• 온‑프레미스에서 인바운드 SSH 차단
• IAM‑기반 접근
• 명시적인 접근 진입점
• 다중 AZ 설계

최종 생각

AWS에 대한 보안 원격 액세스는 하나의 도구를 선택하는 것이 아니라 다음과 같습니다:

• 접근 방법을 의도에 맞추기
• 불필요한 네트워크 노출 방지
• 진입 지점에서 신원 검증 적용

다음과 같이 결합함으로써:

• AWS Verified Access
• EC2 Instance Connect Endpoint
• AWS Client VPN

온프레미스에서 AWS로 보안적이고, 확장 가능하며 최소 권한 원격 액세스 모델을 얻을 수 있습니다.