온프렘 사무실 네트워크 보안 장비#

일반적인 기업 사무실에서 사용하는 보안 장비를 바깥에서 안쪽 순서로 정리한다.

[인터넷]
    ↓
[① 방화벽 (Firewall)]           ← 외부/내부 경계, L3/L4 필터링
    ↓
[② IDS/IPS]                     ← 침입 탐지/차단
    ↓
[③ VPN Gateway]                 ← 외부 접속 암호화 터널
    ↓
[④ WAF]                         ← 웹 애플리케이션 방화벽 (L7)
    ↓
[⑤ NAC]                         ← 네트워크 접근 제어 (단말 인증)
    ↓
[내부 네트워크 / 서버]

① 방화벽 (Firewall)#

항목설명
역할외부/내부 트래픽 필터링, IP/Port 기반 허용/차단
위치인터넷과 내부 네트워크 경계
장비 예시Fortinet FortiGate, Palo Alto, Cisco ASA, Juniper SRX
클라우드 대응Security Group + NACL

차세대 방화벽(NGFW)은 L7까지 검사하며, 애플리케이션 식별/사용자 식별/SSL 복호화까지 수행한다.

② IDS/IPS (침입 탐지/차단 시스템)#

항목설명
IDS침입 탐지 — 이상 트래픽 감지 후 알림 (모니터링)
IPS침입 차단 — 이상 트래픽 감지 시 자동 차단 (인라인)
장비 예시Snort, Suricata (오픈소스), Palo Alto Threat Prevention
클라우드 대응AWS GuardDuty (탐지), AWS WAF + Shield (차단)

IDS는 미러링(수동 감시), IPS는 인라인(능동 차단). 최근 NGFW에 IPS가 통합되는 추세.

③ VPN Gateway#

항목설명
역할외부에서 내부 네트워크로 암호화된 터널 접속
유형Site-to-Site (사무실 ↔ 클라우드), Client VPN (재택 → 사무실)
장비 예시OpenVPN, WireGuard, Cisco AnyConnect, FortiClient
클라우드 대응AWS Site-to-Site VPN, AWS Client VPN, Tailscale

④ WAF (웹 애플리케이션 방화벽)#

항목설명
역할HTTP 요청 검사 — SQLi, XSS, CSRF 등 L7 공격 차단
위치웹 서버 앞단
장비 예시ModSecurity (오픈소스), F5 BIG-IP, Imperva
클라우드 대응AWS WAF, CloudFront + WAF, Istio EnvoyFilter WAF

⑤ NAC (네트워크 접근 제어)#

항목설명
역할네트워크에 접속하는 단말 인증/검증 (백신 설치 여부, OS 패치 등)
장비 예시Cisco ISE, Genian NAC, ForeScout
클라우드 대응IAM Identity Center (SSO), 조건부 접근 정책

온프렘 vs 클라우드 보안 구성 비교#

기능온프렘 장비AWS 클라우드
네트워크 방화벽FortiGate, Palo AltoSecurity Group + NACL
IDS/IPSSnort, SuricataGuardDuty + Shield
VPNOpenVPN, WireGuardSite-to-Site VPN, Client VPN
WAFModSecurity, F5AWS WAF
NACCisco ISE, GenianIAM Identity Center
DDoS 방어전용 장비 (Arbor 등)Shield Standard/Advanced
SSL 인증서직접 구매/갱신ACM (무료, 자동 갱신)
로그/감사SIEM (Splunk, ELK)CloudTrail + CloudWatch
접근 제어LDAP/AD + RADIUSIAM + SSO

온프렘 → 클라우드 연결 방법#

1. Site-to-Site VPN#

사무실 방화벽과 AWS VPC를 IPSec 터널로 연결한다.

[사무실]                              [AWS]
FortiGate ─── IPSec 터널 ──── AWS VPN Gateway
  10.10.0.0/16                          10.0.0.0/16
    ↓                                      ↓
내부 서버/PC                           EKS, RDS, etc.
항목설명
대역폭터널당 최대 1.25Gbps
암호화IPSec (IKEv2)
비용~$36/월 (VPN 연결당)
이중화터널 2개 (Active/Standby)
적합소규모~중규모, 빠른 구축

2. AWS Direct Connect#

전용선으로 물리적 연결. VPN보다 안정적이고 빠르다.

[사무실] ── 전용선 ── [Direct Connect Location] ── [AWS VPC]
항목설명
대역폭1Gbps ~ 100Gbps
지연VPN보다 낮고 일정
비용포트비 + 데이터 전송비 (비쌈)
적합대규모, 안정성/지연 중요한 경우

3. Client VPN (개인 접속)#

개발자가 재택/외부에서 AWS VPC 내부 리소스에 접속.

[개발자 PC] ── OpenVPN/WireGuard ── [AWS Client VPN Endpoint] ── [VPC 내부]

PlayBall 프로젝트에서는 Tailscale/WireGuard로 홈서버(Dev 클러스터)에 접속했다.

하이브리드 아키텍처 보안 체크리스트#

네트워크#

  • Site-to-Site VPN 또는 Direct Connect 설정
  • VPN 터널 이중화 (Active/Standby)
  • 사무실 ↔ AWS 간 라우팅 테이블 설정
  • 사무실 방화벽에서 AWS 대역만 허용

접근 제어#

  • AWS IAM Identity Center (SSO) 설정
  • 사무실 AD/LDAP과 SSO 연동
  • MFA 필수 적용
  • 환경별 권한 분리 (DevOps/Developer/ReadOnly)

모니터링#

  • VPN 연결 상태 모니터링 (CloudWatch)
  • 사무실 방화벽 로그 → SIEM 연동
  • AWS CloudTrail 감사 로그 활성화
  • GuardDuty 위협 탐지 활성화

데이터 보호#

  • 전송 중 암호화 (VPN/TLS)
  • 저장 시 암호화 (EBS/RDS/S3 encryption)
  • 크리덴셜 관리 (Secrets Manager, 정적 키 금지)