본문으로 건너뛰기

ClientVPN

1 AWS Client VPN

  • AWS Client VPN은 관리형 클라이언트 기반 VPN 서비스로, AWS 리소스와 온프레미스 네트워크에 안전하게 접근할 수 있게 해줍니다.
  • OpenVPN 기반의 VPN 클라이언트를 사용하여 어느 위치에서나 리소스에 접근할 수 있습니다.

2 주요 기능

2.1 보안 연결

  • TLS를 사용하여 어디서든지 안전한 연결을 제공합니다.
  • OpenVPN 클라이언트를 통해 연결을 설정합니다.

2.2 관리형 서비스

  • AWS에서 관리하는 서비스로, 타사 원격 액세스 VPN 솔루션을 배포하고 관리하는 운영 부담을 줄여줍니다.
  • 고가용성과 탄력성을 제공하여, 사용자 수에 따라 자동으로 확장됩니다.

2.3 인증

  • 클라이언트 인증을 Active Directory, 페더레이션 인증 및 인증서 기반 인증을 통해 지원합니다.
  • 세부적인 보안 제어를 위해 네트워크 기반 접근 규칙을 정의할 수 있습니다.
  • Active Directory 그룹별로 보안 규칙을 설정할 수 있으며, 보안 그룹을 사용하여 접근 제어를 구현할 수 있습니다.

2.4 사용 편의성

  • 단일 VPN 터널을 통해 AWS 리소스와 온프레미스 리소스에 접근할 수 있습니다.
  • 클라이언트 연결 시도를 기록하는 로그를 볼 수 있으며, 활성 클라이언트 연결을 관리하고 종료할 수 있습니다.
  • AWS Directory Service와 Amazon VPC와의 통합이 깊게 이루어져 있습니다.

3 구성 요소

3.1 클라이언트 VPN 엔드포인트

  • 클라이언트 VPN 세션을 활성화하고 관리하기 위해 생성하고 구성하는 리소스입니다.
  • 모든 클라이언트 VPN 세션의 종단점입니다.

3.2 타겟 네트워크

  • 클라이언트 VPN 엔드포인트와 연결된 네트워크입니다.
  • VPC의 서브넷을 타겟 네트워크로 지정하여 VPN 세션을 설정할 수 있습니다.
  • 고가용성을 위해 여러 서브넷을 연결할 수 있으며, 각 서브넷은 다른 가용 영역에 있어야 합니다.

3.3 라우트

  • 각 클라이언트 VPN 엔드포인트에는 사용 가능한 목적지 네트워크 경로를 설명하는 라우트 테이블이 있습니다.
  • 라우트 테이블의 각 라우트는 특정 리소스 또는 네트워크로 트래픽이 전달되는 경로를 지정합니다.

3.4 인가 규칙

  • 네트워크에 접근할 수 있는 사용자를 제한하는 규칙입니다.
  • 지정된 네트워크에 접근할 수 있는 Active Directory 또는 IdP 그룹을 구성할 수 있습니다.
  • 기본적으로 인가 규칙은 없으며, 사용자가 리소스와 네트워크에 접근할 수 있도록 인가 규칙을 구성해야 합니다.

3.5 클라이언트

  • 클라이언트 VPN 엔드포인트에 연결하여 VPN 세션을 설정하는 최종 사용자입니다.
  • 최종 사용자는 OpenVPN 클라이언트를 다운로드하고, 설정 파일을 사용하여 VPN 세션을 설정해야 합니다.

3.6 클라이언트 CIDR 범위

  • 클라이언트 IP 주소를 할당할 IP 주소 범위입니다.
  • 각 클라이언트 VPN 엔드포인트 연결은 클라이언트 CIDR 범위에서 고유한 IP 주소를 할당받습니다.
  • 예시: 10.2.0.0/16

3.7 클라이언트 VPN 포트

  • AWS Client VPN은 TCP와 UDP 모두에 대해 포트 443과 1194를 지원합니다.
  • 기본 포트는 443입니다.

3.8 클라이언트 VPN 네트워크 인터페이스

  • 서브넷을 클라이언트 VPN 엔드포인트와 연결하면, 해당 서브넷에 클라이언트 VPN 네트워크 인터페이스가 생성됩니다.
  • 클라이언트 VPN 엔드포인트에서 VPC로 전송되는 트래픽은 클라이언트 VPN 네트워크 인터페이스를 통해 전송됩니다.

3.9 연결 로깅

  • 클라이언트 VPN 엔드포인트에 대한 연결 이벤트를 기록하도록 설정할 수 있습니다.
  • 이 정보를 사용하여 포렌식을 실행하거나 클라이언트 VPN 엔드포인트 사용 방법을 분석하고, 연결 문제를 디버그할 수 있습니다.

3.10 셀프 서비스 포털

  • 최종 사용자가 최신 버전의 AWS VPN 데스크톱 클라이언트와 클라이언트 VPN 엔드포인트 설정 파일을 다운로드할 수 있는 웹 페이지입니다.
  • 셀프 서비스 포털은 클라이언트 VPN 엔드포인트 관리자에 의해 활성화되거나 비활성화될 수 있습니다.
  • 셀프 서비스 포털은 다음 리전에 서비스 스택을 두고 있는 글로벌 서비스입니다: US East (N. Virginia), Asia Pacific (Tokyo), Europe (Ireland), and AWS GovCloud (US-West).

4 사용 방법

4.1 AWS Management Console

  • 웹 기반 사용자 인터페이스를 제공합니다.
  • AWS 계정에 가입한 후, Amazon VPC 콘솔에 로그인하여 클라이언트 VPN을 선택할 수 있습니다.

4.2 AWS Command Line Interface (AWS CLI)

  • AWS CLI를 통해 클라이언트 VPN 공개 API에 직접 접근할 수 있습니다.
  • Windows, macOS 및 Linux에서 지원됩니다.

4.3 AWS Tools for Windows PowerShell

  • PowerShell 환경에서 스크립팅하는 사용자를 위한 명령을 제공합니다.

4.4 Query API

  • 클라이언트 VPN 및 AWS에 프로그래매틱하게 접근할 수 있는 HTTPS Query API를 제공합니다.
  • HTTPS API를 사용하여 서비스에 직접 HTTPS 요청을 발행할 수 있습니다.

5 가격

  • 각 엔드포인트 연결 및 VPN 연결에 대해 시간 단위로 요금이 부과됩니다.
  • 데이터 전송 요금이 적용됩니다.
  • 연결 로깅을 활성화한 경우, CloudWatch Logs 로그 그룹 사용 요금이 부과됩니다.
  • 클라이언트 연결 핸들러를 활성화한 경우, Lambda 함수 호출 요금이 부과됩니다.
  • 클라이언트 VPN 엔드포인트에 연결된 VPC가 인터넷 게이트웨이를 갖고 있다면, Elastic IP 주소 사용 요금이 부과됩니다.