seongjoojin/gist:e904645426c9c7ce3c6d416168dffdc3

## gistfile1.txt
VPC (Virtual Private Cloud) : 보안 레벨을 지정할때 유용

외부에서 접속하지 말아야할 것들을 서브넷이라는 개념으로 분리할 수 있음.

## 인터넷에 연결된 VPC 만들기 : 단계별

IP 주소 범위 선택 -> 가용 영역(AZ)별 서브넷 설정 -> 인터넷으로 향하는 경로(route) 만들기 -> VPC 로/부터의 트래픽 설정

## CIDR notation revie

CIDR range example: 172.31.0.0/16

앞의 16비트는 고정이고 나머지는 변경 가능함.

## VPC의 IP 주소 범위 선택

Recommended : RFC1918 range, /16(64K address) - 연결할 수 있는 다른 네트워크와 겹치는 범위는 피해야함

## RFC 1918

10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

## VPC 서브넷 및 가용 영역

##### 서울리전 기준 Availability Zone
ap-northeast-2a
ap-northeast-2c

AZ안에 VPC subnet이 존재해야함

## VPC 서브넷 권고사항

- /16 VPC (64K addresses)
- /24 subnets (251 addresses)
- One subnet per Availability Zone

## Routing in your VPC

- Route table 은 패킷이 이동하는 규칙을 포함
- VPC 에 기본 route table이 존재
- 하지만 서브넷에 다른 route table 을 할당 할 수 있음.

내 VPC로 향하는 트래픽은 내 VPC 내에 머물러야 함

## Internet Gateway

VPC에서 외부로 나가는 관문

0.0.0.0/0 -> VPC로 향하지 않는 모든것:인터넷으로 보내기

## Network ACLs : Stateless firewalls

서브넷 단위로 적용가능

## Security groups: 애플리케이션 구조

그룹 단위로 적용가능(인바운드 규칙,아웃바운드 규칙 정해주면 됨)

## 체크 포인트 : Security Groups

- 최소 권한 원칙(Principle of Least Privilege) 준수
- VPC 는 egress/ingress 에 대한 Security Group 생성 가능

## VPC의 연결 옵션

- 인터넷 엑세스 제한
- 다른 VPC와 연결
- 회사 네트워크에 연결

## 인터넷 엑세스 제한

서브넷 별로 다른 라우팅

프론트는 인터넷에 연결
백엔드는 인터넷과 차단

## NAT gateway : 아웃바운드 전용 인터넷 허용

OS 업데이트 등으로 사용함

## VPC 간 연결: VPC peering

## VPC peering 사용 예: 공유 서비스 VPC

공통/핵심서비스
- 인증/디렉토리
- 모니터링
- 로깅
- 원격 관리
- 스캐닝

## Security groups across peered VPCs

요청과 시작과 승인이 있어야함

## VPC내의 AWS 서비스

예) Amazon RDs database in your VPC
예) AWS Lambda function in your VPC

## Best practices for in-VPC AWS services

- 많은 AWS 서비스는 VPC내 실행을 지원
- 최소 권한 네트워크 액세스를 위해 Security Groups 사용
- 높은 가용성을 위해 여러 가용 영역(AZ)을 사용
  - Multi-AZ RDS deployments
  - Use a zonal mount point for EFS access

S3는 VPC안에 있지 않음(모든 인터넷에 연결되기 때문에)

VPC endpoints for S3 : S3와 보안적으로 연결되도록 해줌

## IAM policy for VPC endpoints

IAM Policy at VPC endpoints : 특정 S3 Bucket 액세스만 허용
IAM Policy at S3 Bucket : VPC Endpoint 를 통한 액세스만 허용

## VPC Flow Logs

- Security Groups 규칙의 영향에 대한 가시성
- 네트워크 연결 문제 해결
- 트래픽 분석 가능
	VPC (Virtual Private Cloud) : 보안 레벨을 지정할때 유용

	외부에서 접속하지 말아야할 것들을 서브넷이라는 개념으로 분리할 수 있음.

	## 인터넷에 연결된 VPC 만들기 : 단계별

	IP 주소 범위 선택 -> 가용 영역(AZ)별 서브넷 설정 -> 인터넷으로 향하는 경로(route) 만들기 -> VPC 로/부터의 트래픽 설정

	## CIDR notation revie

	CIDR range example: 172.31.0.0/16

	앞의 16비트는 고정이고 나머지는 변경 가능함.

	## VPC의 IP 주소 범위 선택

	Recommended : RFC1918 range, /16(64K address) - 연결할 수 있는 다른 네트워크와 겹치는 범위는 피해야함

	## RFC 1918

	10.0.0.0 - 10.255.255.255 (10/8 prefix)
	172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
	192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

	## VPC 서브넷 및 가용 영역

	##### 서울리전 기준 Availability Zone
	ap-northeast-2a
	ap-northeast-2c

	AZ안에 VPC subnet이 존재해야함

	## VPC 서브넷 권고사항

	- /16 VPC (64K addresses)
	- /24 subnets (251 addresses)
	- One subnet per Availability Zone

	## Routing in your VPC

	- Route table 은 패킷이 이동하는 규칙을 포함
	- VPC 에 기본 route table이 존재
	- 하지만 서브넷에 다른 route table 을 할당 할 수 있음.

	내 VPC로 향하는 트래픽은 내 VPC 내에 머물러야 함

	## Internet Gateway

	VPC에서 외부로 나가는 관문

	0.0.0.0/0 -> VPC로 향하지 않는 모든것:인터넷으로 보내기

	## Network ACLs : Stateless firewalls

	서브넷 단위로 적용가능

	## Security groups: 애플리케이션 구조

	그룹 단위로 적용가능(인바운드 규칙,아웃바운드 규칙 정해주면 됨)

	## 체크 포인트 : Security Groups

	- 최소 권한 원칙(Principle of Least Privilege) 준수
	- VPC 는 egress/ingress 에 대한 Security Group 생성 가능

	## VPC의 연결 옵션

	- 인터넷 엑세스 제한
	- 다른 VPC와 연결
	- 회사 네트워크에 연결

	## 인터넷 엑세스 제한

	서브넷 별로 다른 라우팅

	프론트는 인터넷에 연결
	백엔드는 인터넷과 차단

	## NAT gateway : 아웃바운드 전용 인터넷 허용

	OS 업데이트 등으로 사용함

	## VPC 간 연결: VPC peering

	## VPC peering 사용 예: 공유 서비스 VPC

	공통/핵심서비스
	- 인증/디렉토리
	- 모니터링
	- 로깅
	- 원격 관리
	- 스캐닝

	## Security groups across peered VPCs

	요청과 시작과 승인이 있어야함

	## VPC내의 AWS 서비스

	예) Amazon RDs database in your VPC
	예) AWS Lambda function in your VPC

	## Best practices for in-VPC AWS services

	- 많은 AWS 서비스는 VPC내 실행을 지원
	- 최소 권한 네트워크 액세스를 위해 Security Groups 사용
	- 높은 가용성을 위해 여러 가용 영역(AZ)을 사용
	- Multi-AZ RDS deployments
	- Use a zonal mount point for EFS access

	S3는 VPC안에 있지 않음(모든 인터넷에 연결되기 때문에)

	VPC endpoints for S3 : S3와 보안적으로 연결되도록 해줌

	## IAM policy for VPC endpoints

	IAM Policy at VPC endpoints : 특정 S3 Bucket 액세스만 허용
	IAM Policy at S3 Bucket : VPC Endpoint 를 통한 액세스만 허용

	## VPC Flow Logs

	- Security Groups 규칙의 영향에 대한 가시성
	- 네트워크 연결 문제 해결
	- 트래픽 분석 가능