AWS Firewall Manager

source: https://aws.amazon.com/ko/firewall-manager/?nc1=h_ls 

관련 글: AWS Organization

계정 및 애플리케이션 전체의 방화벽 규칙을 중앙에서 구성 및 관리

방화벽 규칙을 중앙에서 구성 및 관리할 수 있는 보안 관리 서비스입니다. 적용 대상은 AWS Org 안의 account 및 app 입니다. 새로운 app이나 리소스를 생성할 때 중앙 관리자가 원하는 보안 정책을 따르도록 만들 수 있습니다. 

• Application Load Balancer, API Gateway 및 Amazon CloudFront 배포에 대해 AWS WAF 규칙을 손쉽게 적용할 수 있습니다.
• Application Load Balancer, ELB Classic Load Balancer, 탄력적 IP 주소 및 CloudFront 배포에 대한 AWS Shield Advanced 보호를 생성할 수 있습니다.
• Amazon Virtual Private Cloud(VPC) 보안 그룹을 구성하고, Amazon EC2, Application Load Balancer(ALB) 및 ENI 리소스 유형에 대한 기존 VPC 보안 그룹을 감사할 수 있습니다.
• 조직 내 계정과 VPC에 AWS Network Firewalls를 배포할 수 있습니다.
• VPC를 Amazon Route 53 Resolvers DNS 방화벽 규칙과 연결할 수도 있습니다.

 

장점

• 여러 계정 전체에서 방화벽 규칙 관리 간소화
• 기존 및 새로운 애플리케이션의 규정 준수 보장
• 여러 계정에서 관리형 규칙 손쉽게 배포
• VPC에 대한 보호를 중앙에서 배포

필자 메모

Firewall Manager를 적용하면 Org 안에 있는 모든 account, user, resource가 영향을 받습니다. 그런데 여러 자매회사로 이루어진 Enterprise 레벨 회사에서 그룹A는 그룹B와 다른 보안정책을 운영해야 하거나, 영향을 받지 않고 싶어할 수 있습니다. 이런 경우 그룹A만을 위해 Firewall Manager를 도입하기 어렵습니다. 그룹A를 담당하는 운영자가 그룹B에 영향을 미치지 않게 주의해서 설정을 하더라도, 언제든지 실수할 가능성이 있기 때문입니다. 

 

따라서 1개의 AWS Org를 공유하던 그룹A와 그룹B는 기존 AWS Org에서 독립하여 새로운 AWS Org를 이용해야 합니다.

 

 

 

관련 글: AWS Organization