VPN 서버로 환경 보호하기
클라이언트-사이트 간 VPN 서버는 환경을 보호하고 규정 준수 요건을 충족하는 데 도움이 될 수 있습니다.
경계 보호를 위해 보안 그룹 및 ACL 사용
VPN 서버는 VPC 보안 그룹 및 ACL(Access Control List)과의 통합을 지원합니다. 자세한 정보는 보안 그룹 정보 및 네트워크 ACL 설정을 참조하십시오.
예상치 못한 통신 또는 허용되지 않은 통신으로부터 환경을 보호하려면 기본적으로 모든 트래픽을 거부하고 예상된 프로토콜, CIDR 또는 포트만을 허용하도록 ACL 및 보안 그룹 규칙을 구성하십시오. VPN과 사용하도록 보안 그룹과 ACL을 구성하면 VPN 서버가 제대로 작동하는 데 필요한 규칙의 예를 제공할
수 있습니다. 추가 규칙을 사용하여 Any
또는 0.0.0.0/0
대신 특정 네트워크에 대한 VPN 서버 포트의 액세스를 제한할 수 있습니다.
VPN 클라이언트 인증을 통한 액세스 제어
클라이언트-사이트 VPN 서버는 인증서 인증 및 사용자/패스코드 인증을 지원합니다. 각 방법에 필요한 구성에 대한 자세한 내용은 클라이언트-사이트 인증 설정 및 VPN 클라이언트 인증을 참조하십시오.
클라이언트 액세스를 인증하기 위해 두 인증 방법을 함께 사용할 수 있습니다. 최상의 결과를 얻으려면 다음 가이드라인을 따르십시오.
사용자 이름/패스코드로 인증
사용자 이름 또는 패스코드로 인증하려면 다음 사항에 유의하십시오.
- 이 옵션을 사용하려면 VPN 클라이언트 사용자가 유효한 패스코드를 획득하여 VPN 연결에 사용하기 전에 원하는 MFA 방법으로 인증을 수행해야 합니다. 이것은 IAM 인증 섹션에서 구성할 수 있습니다(관리 > 액세스(IAM) > 설정 > 인증). 자세한 정보는 다단계 인증 사용 을 참조하십시오.
- 사용자 이름/패스코드 인증을 이용하려면 사용자에게 IAM VPN 서버 사용자 역할이 있어야 합니다. 자세한 정보는 IAM 액세스 그룹 작성 및 VPN 서버에 연결하기 위한 역할 부여를 참조하십시오. 이 역할을 VPN 액세스가 필요한 사용자에게만 활성화하려면 IAM 액세스 그룹 또는 액세스 정책을 구성해야 합니다.
클라이언트 인증서로 인증
클라이언트 인증서를 사용하여 인증하려면 다음 사항에 유의하세요:
- 고유한 클라이언트 인증서를 사용하십시오. 클라이언트 인증서 인증을 위해 VPN 서버를 구성하려면 클라이언트 인증서가 입력되어야 합니다. 그러나 동일한 인증서 기관(Certificate Authority, CA)이 서명한 고유한 클라이언트 인증서는 별도로 생성하여 다른 사용자에게 사용할 수 있습니다.
- 인증서 취소 목록(Certificate Revocation List, CRL)을 사용하여 클라이언트 인증서를 취소합니다. 클라이언트-사이트 VPN 서버는 클라이언트 인증서를 취소하기 위해 CRL을 지원합니다. 자세한 내용은 VPN 서버 생성하기에서 확인할 수 있습니다.
- Secrets Manager 통해 만든 LetsEncrypt 인증서와 같이 공개 CA로 서명된 클라이언트 인증서는 사용하지 마세요. 공용 CA 서명 클라이언트 인증서를 사용하면 누구나 클라이언트 인증서를 프로비저닝하여 인증에 성공할 수 있습니다. 또한 공용 CA로 생성된 인증서는 CRL로 쉽게 추적하여 취소할 수 없습니다.
추가 VPN 서버 구성
클라이언트-사이트 VPN 서버는 여러 추가 옵션을 지원하므로 이를 구성하여 보안을 향상하고 규정 준수 요구 사항을 충족할 수 있습니다. 자세한 내용은 VPN 서버 생성하기 및 VPN 서버 계획 고려 사항에서 확인할 수 있습니다.
VPN 서버 구성 시 다음 문제에 유의해야 합니다.
- VPN 서버는 클라이언트 유휴 제한시간을 지원합니다. 기본적으로 VPN 클라이언트 연결은 활성 트래픽이 10분 동안 없으면 끊깁니다. 필요한 값을 추가하기 위해 제한시간을 편집할 수 있습니다.
- VPN 서버에서 전체 터널 모드를 활성화합니다. 특히 신뢰할 수 없는 네트워크로 연결할 경우 전체 터널 모드가 더 안전하므로 권장됩니다. 전체 터널 모드에서 VPN 클라이언트의 모든 트래픽은 VPN 서버로 라우팅됩니다.
- 전송 프로토콜과 VPN 포트를 구성합니다. TCP/443과 같이 잘 알려진 포트를 열어 놓고 싶지 않을 수도 있습니다. 이 옵션을 편집하여 기본이 아닌 전송 프로토콜 및 VPN 포트를 사용하십시오.
- VPN 서버 로그를 수신하고 분석하도록 Activity Tracker 구성하세요. 자세한 정보는 Activity Tracker 이벤트를 참조하십시오.