VPC를 만들고 EC2를 띄우면 곧 마주치는 두 가지 욕구가 있다. "외부에서 SSH로 들어와 작업하고 싶다", "내 Private 인스턴스가 외부 API를 호출하고 싶다." 이 둘은 비슷해 보이지만 정반대 방향의 트래픽이고, AWS는 각각에 다른 솔루션을 준비해두었다. IGW와 NAT Gateway가 패킷의 흐름을, Bastion과 Session Manager가 운영자의 접근을 다룬다. 이 네 가지를 헷갈리지 않고 매핑하는 것이 SAA 시험 네트워크 영역의 약 30%를 직접 결정한다.
오늘의 주제는 "Private 인스턴스는 어떻게 외부와 안전하게 통신하는가", 그리고 "운영자는 어떻게 그 Private 인스턴스에 접근하는가" — 두 가지다. 두 질문은 패킷 방향이 정반대지만, 둘 다 "최소 노출 + 명시적 경로"라는 원칙을 공유한다. 그리고 이 원칙은 Zero Trust Architecture(NIST SP 800-207, 2020)의 두 가지 핵심 — "절대 신뢰하지 말고 항상 검증" + "최소 권한 부여" — 의 네트워크 계층 구현이다.
IGW(Internet Gateway)는 VPC에 부착되는 수평 확장된, 가용성 높은, 무료 게이트웨이다. 한 VPC에 하나만 붙일 수 있고, IGW가 있어야 비로소 VPC가 인터넷과 통신 가능해진다.
IGW가 하는 일은 두 가지다.
1