April 9, 2021 By Bogeun Kim ([email protected])
ISMS 심사를 수행하면서 정보 자산에서 발생되는 Outbound 요청들에 대한 관리가 필요하였다. (당연히 보안상 중요하고 필요하긴한데,,,. 말그대로 서버내에서 허용되지 않은 요청들은 모두 차단해버리겠다는 얘기. 인터넷, 패키지설치 등 등 😂)
예로 특정 서버에서 인터넷으로 API Call 을 수행하는 경우 해당 API Call 에 대한 Destination IP 및 Port 를 인지하고 방화벽 수준에서 허용된 IP/Port 만을 허용이 필요하다는 것.
그러나, 일부 API (Destination) 들은 Static IP 를 사용하는 반면 일부 API 들은 유동적인 IP를 활용하여 IP를 특정하여 허용해줄 수 없다. 특히 백신 엔진 업데이트 및 소프트웨어 패치 관련하여서는 IP 가 유동인 경우가 꽤 많은 것 같다. 이럴 때 최근의 방화벽 장비에서 지원하는 것처럼 Domain (Host) 기반으로 통제할 수 있다면 손쉽게 Outbound 를 관리할 수 있을 것이다.
AWS Security Group 및 NACL 은 모두 IP 기반의 통제만 가능하기에 이를 대체할 방법이 필요했다. 그래서 Outbound 트래픽을 위한 Proxy 서버를 생성하여 Domain 기반으로 Outbound 트래픽을 통제해보려고 한다.
먼저 그림을 그려가면서 어떤 요구사항이 필요한 것인지 스케치 해보자.
요구사항 스케치
요구사항을 정리하면
Proxy 서버 구축/활용 도식화