클라우드 보안 - S3 심화 · ELB · Auto Scaling · 통합 아키텍처
Phase 2 | Cloud Security
S3 심화 · ELB · Auto Scaling · 통합 아키텍처
스토리지 클래스 전략 · ALB/NLB · Scaling 정책 · 고가용성 설계까지
01
S3 심화 — 스토리지 클래스 & 데이터 보호
스토리지 클래스 선택 전략
| 클래스 | 접근 빈도 | 특징 | 적합 워크로드 |
|---|---|---|---|
| Standard | 자주 (수시) | 고가용성, AZ 3개 복제, 고성능 | 서비스 이미지, 정적 파일, API 응답 |
| Intelligent-Tiering | 불확실 | 접근 패턴 자동 분석 → 클래스 전환 | 예측 불가 워크로드 |
| Standard-IA | 드물게 (월 1~2회) | 저장 비용↓ / 검색 비용↑ / 최소 30일 | DR 백업, 구형 로그 |
| Glacier Instant | 분기 1회 이하 | 밀리초 복원, 매우 저렴 | 컴플라이언스 백업 |
| Glacier Flexible | 거의 없음 | 복원 1분~12시간, 최저 비용 | 장기 아카이브, 법적 보존 |
Lifecycle 자동화 전략 | 로그/백업 파일은 30일 → Standard-IA → 90일 → Glacier Flexible → 365일 → 삭제 패턴으로 Lifecycle 규칙을 설정하면 비용을 자동으로 최적화할 수 있다.
데이터 보호 기능
Versioning
- 객체 변경 이력 전체 보존
- 삭제 시 Delete Marker 생성
- 이전 버전으로 복원 가능
- 버전별 스토리지 비용 발생
MFA Delete
- 버전 영구 삭제 시 MFA 인증 추가
- 실수 또는 악의적 삭제 방지
- Root 계정으로만 활성화 가능
- 규제 환경에서 필수 적용
Object Lock (WORM)
- Write Once Read Many
- 설정 기간 동안 삭제/수정 불가
- 법적 보존(Legal Hold) 지원
- 포렌식 증거 보존에 핵심
이벤트 기반 자동화
S3 Event파일 업로드
→
Lambda이미지 리사이징
/
SNS알림 발송
/
SQS비동기 처리 큐
암호화 옵션 비교
| 방식 | 키 관리 주체 | 감사 가능 | 권장 환경 |
|---|---|---|---|
| SSE-S3 | AWS 완전 관리 | 제한적 | 일반 서비스, 빠른 설정 |
| SSE-KMS | AWS KMS (고객 제어) | 가능 CloudTrail 연동 | 규제 환경, 키 접근 감사 필요 시 |
| SSE-C | 고객 직접 제공 | 고객 책임 | 키를 AWS에 맡기지 않는 환경 |
| Client-side | 고객 완전 관리 | 고객 책임 | 전송 전부터 암호화 필요 시 |
02
ELB (Elastic Load Balancer) — 부하 분산
클라이언트 요청을 여러 EC2 인스턴스로 분산해 단일 장애점(SPOF)을 제거하고, 헬스 체크로 비정상 인스턴스를 자동 제외한다.
L7 — Application
ALB
HTTP/HTTPS 기반. Path/Host/Header 조건으로 정교한 라우팅. WebSocket 지원. 가장 많이 사용.
L4 — Network
NLB
TCP/UDP 기반. 초고성능, 초저지연. 고정 IP 제공. 게임, 금융, IoT 실시간 처리에 적합.
L3 — Gateway
Gateway LB
서드파티 보안 장비(FW, IDS/IPS) 연동. 트래픽을 보안 어플라이언스로 투명 전달.
ALB 라우팅 규칙 예시
ALB Listener Rule — Host/Path 기반 분기
# Host 기반 라우팅
api.example.com → Target Group: api-servers
img.example.com → Target Group: image-servers
www.example.com → Target Group: web-servers
# Path 기반 라우팅 (같은 도메인)
/api/* → Target Group: api-servers
/static/* → Target Group: cdn-servers # 또는 S3
/* → Target Group: web-servers # 기본 규칙
핵심 기능
Health Check
- 주기적으로 인스턴스 상태 확인
- HTTP 200 응답 여부 기준
- 실패 임계값 초과 시 자동 제외
- 복구 시 자동 재투입
- 경로 설정 예:
GET /health
SSL/TLS Offloading
- ACM(Certificate Manager) 인증서 연동
- ALB에서 HTTPS 처리 → 백엔드 HTTP
- EC2 서버 CPU 부담 감소
- 인증서 자동 갱신 (ACM)
- Access Log → S3 저장 + CloudWatch
ELB + WAF 보안 강화 | ALB에 AWS WAF를 연동하면 SQL Injection, XSS, IP Rate Limiting 등을 ALB 레벨에서 차단할 수 있다. EC2까지 공격 트래픽이 도달하기 전에 필터링하는 것이 핵심.
03
EC2 Auto Scaling — 자동 확장/축소
트래픽 변화에 따라 EC2 인스턴스 수를 자동으로 조절한다. Launch Template으로 인스턴스 구성을 정의하고, Scaling Policy로 언제 확장/축소할지를 결정한다.
구성 요소
Launch Template
- AMI, 인스턴스 유형 지정
- Security Group, Key Pair
- User Data (초기화 스크립트)
- 버전 관리 지원
Auto Scaling Group
- Min — 최소 인스턴스 수
- Max — 최대 인스턴스 수
- Desired — 현재 목표 수
- Multi-AZ 분산 배치 자동화
장애 대응
- Unhealthy 인스턴스 자동 교체
- ELB Health Check 연동
- AZ 균형 자동 재조정
- 인스턴스 새로고침 (Rolling)
Scaling 정책 4종
Target Tracking
목표값 추적
CPU 사용률 50% 유지처럼 목표를 설정하면 자동으로 인스턴스 수를 조절. 가장 권장하는 방식.
Step Scaling
단계별 확장
CPU 70% 이상이면 +2대, 90% 이상이면 +5대처럼 단계적으로 확장. 급격한 트래픽 대응에 유리.
Scheduled
예약 기반
월요일 오전 9시 확장, 자정 축소처럼 예상 가능한 트래픽 패턴에 적용. 비용 최적화 목적.
Predictive
예측 기반
과거 2주 데이터를 ML로 분석해 미리 확장. 트래픽 급증 전 선제 대응 가능. 워밍업 시간 단축.
Scale In 주의 | 과도한 Scale In은 남은 인스턴스에 부하가 집중되어 연쇄 장애로 이어질 수 있다. Cooldown Period(기본 300초)를 설정해 Scale In/Out 간 안정화 시간을 확보하고, Min을 너무 낮게 설정하지 않도록 주의한다.
04
통합 아키텍처 — 실무 설계 패턴
기본 3-Tier 구성
Client브라우저 / 모바일
↓
WAF공격 차단
+
ALBL7 로드밸런서
↓
Auto Scaling GroupEC2 × N대 (Multi-AZ)
↓ ↓
RDSDB (Multi-AZ)
동적 데이터
S3 + CloudFront정적 리소스 CDN
이미지 / JS / CSS
트래픽 흐름
사용자 요청
→
WAF 필터링공격 차단
→
ALB정상 EC2 선택
→
EC2 처리앱 로직
→
S3 / RDS데이터 응답
고급 확장 구성
| 목적 | 구성 | 효과 |
|---|---|---|
| CDN / 성능 | S3 + CloudFront | 전 세계 엣지 캐싱. 정적 파일 응답 속도 극대화 |
| 보안 강화 | ALB + WAF | SQLi, XSS, IP 차단. EC2 도달 전 필터링 |
| 고가용성 | Auto Scaling + Multi-AZ | AZ 장애 시 자동 전환. Unhealthy 인스턴스 자동 교체 |
| 이벤트 처리 | S3 Event + Lambda | 파일 업로드 시 자동 처리 (썸네일, 바이러스 스캔 등) |
| 모니터링 | CloudWatch + Alarm | CPU/요청 수 임계값 → Auto Scaling 자동 트리거 |
05
설계 & 운영 핵심 원칙
장애 대응
- ELB + Multi-AZ 필수
- RDS Multi-AZ 자동 Failover
- Auto Scaling Unhealthy 교체
- 단일 장애점 제거
Scalability
- Auto Scaling Target Tracking
- Stateless 설계 (세션 → Redis)
- S3 무제한 스토리지 활용
- DB Read Replica 분리
Cost
- S3 Lifecycle 자동화
- Scale In 적극 활용
- Spot Instance 활용
- 미사용 EIP 즉시 해제
Security
- IAM 최소 권한 원칙
- S3 Public Access 차단
- HTTPS + ACM 인증서
- KMS 암호화 + CloudTrail
Automation
- CloudWatch Alarm → Scaling
- S3 Event → Lambda
- Systems Manager 패치 자동화
- CloudFormation IaC
Well-Architected Framework 5대 원칙 | AWS는 클라우드 아키텍처를 운영 우수성 · 보안 · 안정성 · 성능 효율성 · 비용 최적화 5가지 관점에서 평가한다. 위 설계 원칙들은 이 프레임워크와 직접 연결된다.
'보안 공부' 카테고리의 다른 글
| 클라우드 보안 - RDS · DynamoDB · Lambda · VPC 심화 (0) | 2026.06.01 |
|---|---|
| 클라우드 보안 - IAM · S3 완전 정리 (0) | 2026.06.01 |
| 클라우드 보안 - EBS · VPC · 네트워크 완전 정리 (0) | 2026.06.01 |
| 클라우드 보안 - AWS 기초 · EC2 완전 정리 (0) | 2026.06.01 |
| 네트워크 보안 - 사내망 보안 구조 · Snort IDS 완전 정리 (0) | 2026.05.29 |