BLOG

퍼블릭 액세스 차단 구성, 의도치 않은 네트워크 노출로부터 Amazon EMR 클러스터 보호할 수 있어..
작성일: 2019-11-08

AWS 보안 그룹은 허용된 IP 주소로만 클러스터에 대한 액세스를 제어 할 수 있는 네트워크 방화벽 역할을 담당합니다. 클러스터의 애플리케이션 및 데이터를 보호하려면 보안 그룹 규칙을 올바르게 관리해야 합니다. Amazon EMR 은 애플리케이션 요구 사항에 따라 필요한 네트워크 포트, 프로토콜 및 IP 주소를 포함하는 제한적인 보안 그룹 규칙을 만드는 것이 좋습니다.

AWS 계정 관리자는 다양한 방식으로 클라우드 네트워크 보안을 보호할 수 있지만 새로운 기능을 통해 계정 사용자가 잘못 구성된 보안 그룹 규칙으로 클러스터를 시작하지 못하도록 방지할 수 있습니다. 또한 잘못 구성하면 광범위한 범위의 클러스터 포트가 열리고 공용 인터넷의 트래픽이 제한되지 않고 클러스터 리소스가 외부 위협에 노출 될 수 있습니다.

오늘 테크블로그에서는 관리자가 한 지역의 모든 EMR 클러스터에서 공통 공개 액세스 규칙을 시행할 수 있도록 도움을 드리고자 BPA (공개 액세스 차단) 구성이라는 새로운 계정 수준 기능을 설명해 드리겠습니다.

 

퍼블릭 액세스 차단 구성 개요

BPA 구성은 한 지역의 EMR 클러스터에 대한 공용 네트워크 액세스를 중앙에서 관리하는 데 도움이 되는 계정 수준 구성입니다.  리전에서 이 구성을 사용하도록 설정하고 계정 사용자가 포트를 통해 퍼블릭 IP 주소( IPv4의 경우 0.0.0.0/0 , IPv6의 경우 :: / 0 )에서 무제한 인바운드 트래픽을 허용하는 클러스터를 시작하지 못하게 할 수 있습니다. 애플리케이션은 인터넷에 특정 포트가 열려 있어야 할 수 있습니다. 이 경우 클러스터를 시작하기 전에 공개 액세스를 허용하도록 BPA 구성에서 이러한 포트(또는 포트 범위)를 예외로 구성하십시오.

계정 사용자가 BPA 구성을 사용하도록 설정한 리전에서 클러스터를 시작하면 EMR은 이 구성에 정의된 포트 규칙을 확인하여 클러스터와 관련된 보안 그룹에 지정된 인바운드 트래픽 규칙과 비교합니다. 이러한 보안 그룹에 퍼블릭 IP 주소로 포트를 여는 인바운드 규칙이 있지만 BPA 구성에서 이러한 포트를 예외로 구성하지 않은 경우 EMR은 클러스터 생성에 실패하고 사용자에게 예외를 보냅니다.

 

 AWS Management Console에서 BPA 구성 활성화

BPA 구성을 사용하려면 PutBlockPublicAccessConfiguration API 를 호출할 수 있는 권한이 필요 합니다.

  • AWS Management Console에 로그인 하십시오. 콘솔에서 Amazon EMR 이동합니다
  • 탐색 패널에서 공개 액세스 차단을 선택하십시오 .
  • BPA를 활성화 하려면 변경 을 선택하고 켜짐 을 선택하십시오 .

기본적으로 SSH 트래픽의 포트 22를 제외한 모든 포트가 차단됩니다. 더 많은 포트를 공용 액세스로 허용하려면 예외로 추가하십시오.

  • 포트 범위 추가를 선택하십시오 .

클러스터를 시작하기 전에 이러한 예외를 정의하십시오. 포트 번호 또는 범위는 보안 그룹 규칙 에서 IPv4 의 경우 인바운드 소스 IP 주소가 0.0.0.0/0 이고 IPv6의 경우 :: / 0 인 유일한 것이어야 합니다.

  • 공개 액세스를위한 포트 번호 또는 포트 범위를 입력하십시오.
  • 변경 사항 저장을 선택하십시오 .

AWS CLI를 사용해 BPA를 구성하는 방법은  퍼블릭 액세스 차단 구성 단원을 통해 자세히 확인하실 수 있습니다.

 

글을 마치며

오늘은 관리자가 EMR 클러스터에 대한 공개 액세스를 잘 관리할 수 있도록 BPA (Block Public Access) 구성이라는 Amazon EMR의 새로운 계정 수준 기능에 대해 설명해 드렸습니다. 이를 통해 이제 독자 여러분은 지역의 EMR 클러스터가 실수로 공용 네트워크에 노출되는 것을 방지하며, BPA 구성을 활성화할 수 있습니다.

 

원문 URL: https://aws.amazon.com/ko/blogs/big-data/secure-your-amazon-emr-cluster-from-unintentional-network-exposure-with-block-public-access-configuration/

 

** 메가존 클라우드 TechBlog는 AWS BLOG 영문 게재 글 중에서 한국 사용자들에게 유용한 정보 및 콘텐츠를 우선적으로 번역하여 내부 엔지니어 검수를 받아서, 정기적으로 게재하고 있습니다. 추가로 번역 및 게재를 희망하는 글에 대해서 관리자에게 메일 또는 SNS 페이지에 댓글을 남겨주시면, 우선적으로 번역해서 전달해드리도록 하겠습니다.