회사에서 ALB(Application Load Balancer) 뒤의 Amazon ECS 클러스터에서 애플리케이션을 운영하고 있다고 가정하자. 이때, 특정 국가의 요청은 차단하면서도, 그 국가 내 일부 IP는 예외적으로 허용해야 하는 보안 요구사항이 생길 수 있다. 이러한 정교한 요청 필터링은 어디에서 어떻게 구현해야 할까?
WAF로 요청 필터링
"누가 들어올 수 있는가?"를 판단하는 보안 계층은 AWS WAF(Web Application Firewall)에서 담당한다. 요청 자체를 허용하거나 차단하는 역할을 하며, 통과된 요청은 ALB에서 어떤 인스턴스나 서비스로 보낼지를 결정하게 된다.
AWS WAF는 다음과 같은 요청 필터링 기능을 제공한다:
- IP 기반 필터링
- IP set이라는 객체를 정의하여 특정 IP 주소 목록을 관리할 수 있다.
- 이 IP 세트를 기반으로 특정 IP를 허용 또는 차단하는 규칙을 만들 수 있다.
- 국가 기반 필터링 (Geo Match)
- 사용자의 IP 위치 정보를 기반으로 특정 국가의 요청을 차단 또는 허용할 수 있다.
이 두 가지 조건을 함께 적용하면 다음과 같은 구조가 가능하다:
- 1번 규칙: IP Set에 포함된 특정 IP → 허용
- 2번 규칙: 특정 국가의 요청 → 차단
WAF의 규칙은 우선순위에 따라 적용되므로, 먼저 특정 IP를 허용한 뒤, 그 외 국가 전체를 차단하는 순서로 설계하면 된다. 정교한 보안 설정이 필요할 경우, WAF의 조건 조합을 활용하면 유연하고 강력한 제어가 가능하다.
'AWS' 카테고리의 다른 글
| S3 객체 소유권과 액세스 제어 (0) | 2025.05.20 |
|---|---|
| DMS 흐름으로 본 계층 보안의 이유 (0) | 2025.05.19 |
| SQS를 이용한 사용자 우선순위 처리 아키텍처 설계 (0) | 2025.05.17 |
| 장애 복구 전략을 세우기 전에 꼭 알아야 할 개념: RTO vs RPO (0) | 2025.05.16 |
| Auto Scaling 최적화 - 안정성과 비용 효율을 동시에 잡는 법 (0) | 2025.05.15 |