이두잉의 AWS 세상

AWS Lambda를 이용하여 Security Group 자동 제어

2016.10.21 12:06 - leedoing leedoing

이번 블로그는 AWS의 How to Automatically Update Your Security Group .. AWS Lambda 블로깅 테스트 후기?입니다.

(참고: https://aws.amazon.com/ko/blogs/security/how-to-automatically-update-your-security-groups-for-amazon-cloudfront-and-aws-waf-by-using-aws-lambda/)


AWS가 사용하고 있는 IP-Range는 약 ipv6 포함 약 800 여개가 있습니다. 결제 혹은 CloudFront 연동 등 여러 이유로 해당 IP-Range를 확인하고 방화벽을 수동으로 작업하는 것은 거의 불가능합니다. 

(참고: https://ip-ranges.amazonaws.com/ip-ranges.json)


따라서 AWS에서는 아래와 같은 형태의 자동화 된 방화벽 업데이트 방법을 블로그에 게시 했습니다.

1-2. AWS IP Range가 변경되면 AWS에서 관리하는 SNS Topic(AmazonIpSpaceChanged)에 Publishing

2-3. Client SNS의 Subscriptions은 해당 Topic의 메시지를 받고 Lambda로 트리거

3-5. Lambda는 해당 메시지를 확인하고, Security Group API를 통해 IP-Range를 업데이트

실제 약 1~5 과정은 약 30초 정도 소요됩니다.


블로그에 친절하게 잘 설명되어 있어 어려움 없이 테스트를 진행할 수 있었습니다. 해당 내용을 토대로 AWS Security Group 뿐 아니라 IDC의 방화벽도 적용 가능하리라 보입니다.


감사합니다.