안녕하세요. 오늘은 고객사의 온프레미스 환경과 내부 API 서버 간 VPN 연결을 통한 HTTPS 요청 처리에 대해 설명드리겠습니다. 이 글에서는 내부(Private) 네트워크에서 고정 IP를 활용하여 안전하게 요청을 처리할 수 있는 NLB TLS Termination 구성 방법을 설명하려합니다.
배경 및 필요성
현재 고객사와 회사의 서버는 VPN으로 연결되어 있습니다. 고객사의 방화벽 정책에 따라 특정 IP만 허용되어야 하므로, API 서버로 전달되는 요청의 IP를 고정할 필요가 있습니다. 기존에는 내부 API 서버의 EC2 Private IP 를 전달하여 요청을 처리하려했으나, ElasticBeanstalk 로 API 서버 EC2 자동 배포되다보니 지속적으로 EC2의 Private IP가 변경되어 관리에 어려움이 발생하였습니다. 이러한 문제를 해결하기 위해 Private IP를 고정할 수 있는 NLB로 TLS Termination을 수행하는 방식을 적용했습니다.
VPN은 공용 네트워크를 통해 통신하지만, 강력한 암호화 프로토콜을 적용하여 데이터의 기밀성과 무결성을 보장함으로써 두 개 이상의 private 네트워크 간에 안전한 연결을 제공합니다.
TLS 프로토콜 개요
TLS(Transport Layer Security)는 네트워크에서 데이터를 암호화하여 전송하는 보안 프로토콜입니다.
즉, 인터넷 상에서 데이터를 주고받을 때 중간자 공격이나 데이터 변조 등의 위협을 방지하기 위해 사용됩니다.
HTTPS뿐만 아니라 이메일, VoIP 등 다양한 통신 프로토콜에서 활용되며, 데이터의 기밀성과 무결성을 보장하는 중요한 역할을 합니다.
요약하면, TLS는 보안 암호화 기술이고, HTTPS는 TLS를 기반으로 하는 안전한 HTTP 통신 방식입니다.
NLB TLS Termination 구성 방식
1. NLB 설정
내부용(Internal) NLB를 Private Subnet에 생성합니다. NLB는 OSI 4계층에서 동작하며, TLS 오프로딩(SSL Termination)을 지원합니다. 이를 통해 외부에서 들어오는 HTTPS 요청을 NLB가 수신한 후 암호화를 해제하고, 내부 API 서버에는 HTTP 요청으로 전달합니다.
- 고정 IP 활용: 고객사의 방화벽 정책에 따라 고정된 Private IP를 사용하기위해 NLB 생성시 고정 IP 를 셋팅합니다.
2. 리스너 및 대상 그룹 구성
NLB의 리스너를 TLS 443 포트로 설정하여 외부 HTTPS 요청을 수신합니다. 내부적으로 암호화가 해제된 요청은 API 서버의 HTTP 80 포트로 전달됩니다. 설정 화면에서는 "리스너: TLS 443"과 "대상 그룹: HTTP 80"(API 서버 EC2)으로 구성합니다.
3. 네트워크 및 라우팅 고려사항
- 서브넷 분리: 기존 API 서버가 위치한 Private Subnet과 별도로 NLB 전용 Private Subnet을 구성합니다. 이는 라우팅 테이블 설정 시 IP 대역 충돌을 방지하기 위함입니다. 저는 VPC CIDR 을 추가하여 서브넷을 추가했습니다.
- VPN 경로 연동: NLB에서 수신된 요청(고객사 IP)이 고객사의 VPN Gateway를 통해 올바르게 라우팅되도록 구성하는 것이 중요합니다. 추가한 서브넷의 라우팅테이블을 추가하고 요청을 받을 대상에 고객사 IP 범위를 입력하고 전달할 대상에 VPN GateWay 로 셋팅하였습니다.
구성 방식의 장점
- 보안 유지 및 성능 최적화: NLB에서 TLS Termination을 수행하여 API 서버에서는 별도의 SSL 인증서 없이 HTTP로 요청을 처리할 수 있습니다.
- 고정 IP 관리: 고객사 방화벽에서 허용하는 고정 IP를 활용하여 안전한 네트워크 통신을 보장합니다.
- 구성 단순화: ALB를 경유하지 않고 NLB에서 직접 요청을 처리함으로써 구성 복잡도를 줄였습니다.
이와 같이 구성하면, 고객사는 변경되지 않는 고정된 Private IP를 통해 안전하게 서비스를 이용할 수 있으며, 내부적으로도 SSL 인증서 관리 부담을 줄일 수 있었습니다.
'AWS' 카테고리의 다른 글
| AWS 클라우드 컴퓨팅 관련 용어 (0) | 2022.04.15 |
|---|
