AWS Firewall Manager: WAF, Shield, Security Group 중앙 관리
AWS Firewall Manager로 여러 계정의 WAF, Shield Advanced, Security Group을 중앙에서 관리하는 방법을 알아봅니다.
관련 시험 도메인
- Domain 1: Design Secure Architectures
핵심 요약 (BLUF)
AWS Firewall Manager는 Organizations의 여러 계정과 리소스에 걸쳐 WAF, Shield Advanced, Security Group 등의 보안 규칙을 중앙에서 일괄 적용하고 관리하는 서비스입니다. 새 계정이나 리소스가 추가되면 자동으로 보안 정책이 적용됩니다.
시험 팁
시험 핵심: "멀티 계정 보안 규칙 중앙 관리 = Firewall Manager", 전제 조건: AWS Organizations + WAF 활성화
Firewall Manager란?
여러 AWS 계정의 보안 규칙을 중앙에서 생성, 적용, 감사하는 관리 서비스입니다.
┌─────────────────────────────────────────────┐
│ AWS Organizations │
│ │
│ ┌──────────────────────────────────────┐ │
│ │ Firewall Manager │ │
│ │ │ │
│ │ 보안 정책 정의 │ │
│ │ ├── WAF 정책 │ │
│ │ ├── Shield Advanced 정책 │ │
│ │ ├── Security Group 정책 │ │
│ │ ├── Network Firewall 정책 │ │
│ │ └── DNS Firewall 정책 │ │
│ └──────────────────────────────────────┘ │
│ │ │ │ │
│ ▼ ▼ ▼ │
│ [계정 A] [계정 B] [계정 C] │
│ 자동 적용 자동 적용 자동 적용 │
└─────────────────────────────────────────────┘
전제 조건
| 조건 | 설명 |
|---|---|
| AWS Organizations | 필수, 모든 기능 활성화 |
| 관리자 계정 지정 | Firewall Manager 관리자 계정 설정 |
| AWS Config | 모든 대상 계정에서 Config 활성화 |
관리 가능한 보안 서비스
| 보안 서비스 | Firewall Manager 정책 | 적용 대상 |
|---|---|---|
| AWS WAF | WAF 규칙 그룹 일괄 적용 | CloudFront, ALB, API Gateway |
| Shield Advanced | 자동 구독 및 보호 | CloudFront, ALB, EC2, EIP |
| Security Group | 공통 규칙 적용/감사 | EC2, ENI |
| Network Firewall | 네트워크 방화벽 배포 | VPC |
| Route 53 DNS Firewall | DNS 필터링 규칙 | VPC |
정책 유형별 상세
1. WAF 정책
여러 계정의 CloudFront, ALB에 WAF 규칙을 일괄 적용합니다.
Firewall Manager WAF 정책:
├── 관리형 규칙 그룹 (OWASP, Bot Control)
├── 속도 기반 규칙
└── 적용 범위: 모든 계정의 ALB
→ 새 계정의 새 ALB에도 자동 적용
2. Shield Advanced 정책
지정된 리소스에 Shield Advanced 보호를 자동 활성화합니다.
3. Security Group 정책
| 정책 유형 | 설명 |
|---|---|
| 공통 Security Group | 지정된 SG를 모든 대상에 적용 |
| 감사 Security Group | 규칙 위반 탐지 (과도한 허용 등) |
| 사용량 감사 | 미사용/중복 SG 탐지 |
4. Network Firewall 정책
VPC에 AWS Network Firewall을 자동 배포하고 방화벽 규칙을 적용합니다.
Firewall Manager vs 직접 관리
| 항목 | 직접 관리 | Firewall Manager |
|---|---|---|
| 적용 범위 | 계정별 개별 설정 | 조직 전체 일괄 적용 |
| 새 리소스 | 수동 적용 | 자동 적용 |
| 규정 준수 확인 | 수동 감사 | 자동 감사 + 알림 |
| 일관성 | 보장 어려움 | 보장 |
| 비용 | 서비스별 비용만 | 정책당 추가 비용 |
시험 팁
핵심 가치: "새 계정/리소스가 추가되면 보안 정책이 자동으로 적용됩니다."
비용 구조
| 항목 | 비용 |
|---|---|
| 보안 정책 | $100/정책/리전/월 |
| WAF Web ACL | 기존 WAF 요금 별도 |
| Shield Advanced | 기존 Shield Advanced 요금 별도 |
SAA-C03 시험 출제 포인트
- ✅ 사용 시점: "여러 계정에 걸쳐 WAF/Shield/SG를 일괄 관리"
- ✅ 전제 조건: "Organizations + AWS Config 필수"
- ✅ 자동 적용: "새 리소스에 보안 정책 자동 적용"
- ✅ vs WAF 직접 설정: "단일 계정 = WAF 직접, 멀티 계정 = Firewall Manager"
- ✅ Security Group 감사: "과도한 허용 규칙 탐지"
시험 팁
시험 문제 예시: "50개 계정의 모든 ALB에 동일한 WAF 규칙을 적용하고, 새 계정이 추가되면 자동으로 적용되어야 합니다." → 정답: AWS Firewall Manager WAF 정책
자주 묻는 질문 (FAQ)
Q: Firewall Manager 없이 WAF를 여러 계정에 적용할 수 있나요?
기술적으로 각 계정에서 개별 설정 가능하지만, 일관성 유지가 어렵고 새 리소스에 대한 자동 적용이 불가능합니다. 멀티 계정 환경에서는 Firewall Manager가 권장됩니다.
Q: Firewall Manager는 어느 계정에서 설정하나요?
Organizations의 관리 계정에서 Firewall Manager 관리자 계정을 지정합니다. 보안 전용 계정을 관리자로 지정하는 것이 모범 사례입니다.
Q: 특정 계정이나 OU만 정책에서 제외할 수 있나요?
네. 정책 범위에서 특정 계정이나 OU를 포함/제외할 수 있습니다. 예를 들어 Sandbox OU는 제외하고 Production OU에만 적용할 수 있습니다.
Q: Firewall Manager와 AWS Config의 관계는?
Firewall Manager는 AWS Config를 사용하여 리소스 변경을 감지하고, 정책 준수 여부를 평가합니다. 따라서 대상 계정에서 Config가 활성화되어 있어야 합니다.
Q: Network Firewall과 WAF의 차이는?
WAF는 L7(HTTP/HTTPS) 웹 트래픽을 검사하고, Network Firewall은 L3/L4 수준의 모든 네트워크 트래픽(TCP, UDP, ICMP 등)을 검사합니다. 용도가 다르며 함께 사용하는 것이 모범 사례입니다.