[AWS] VPC Block Public Access BPA

AWS VPC BPA

---

VPC BPA란?

• VPC Block Public Access(BPA)는 AWS 계정 전반의 VPC 리소스에 대한 퍼블릭 인터넷 액세스를 권한 있게 차단할 수 있는 중앙 집중식 보안 기능으로, 보안 요구 사항을 준수하는 동시에 특정 예회 및 감사 기능에 대한 유연성 제공.

VPC BPA 기능

VPC BPA Mode

• Bidirectional(양방향) : 이 지역의 인터넷 게이트웨이 및 송신 전용 인터넷 게이트웨이와의 모든 트래픽(제외된 VPC 및 서브넷 제외)이 차단.
• Ingress-only : 이 지역의 VPC로 가는 모든 인터넷 트래픽(제외된 VPC 또는 서브넷 제외)이 차단됩니다. NAT 게이트웨이와 egress-only 인터넷 게이트웨이로 가는 트래픽만 허용.

제외 사항

• Bidirectional(양방향) : 제외된 VPC 및 서브넷에서 나가는 모든 인터넷 트래픽이 허용.
• Egress-only : 제외된 VPC 및 서브넷에서 나가는 인터넷 트래픽이 허용됩니다. 제외된 VPC 및 서브넷으로 들어오는 인터넷 트래픽은 차단됩니다. 이는 BPA가 양방향으로 설정된 경우에만 적용.

---

 

Test 조건 

 

• 퍼블릭 액세스 차단 설정
  • 퍼블릭 액세스 차단 활성화 : Bidirectional(양방향)
• 제외 사항
  • default-vpc : 양방향 제외 처리(default-vpc에 대해 양방향 액세스 모두 허용)
  • BPA-test-vpc : 아웃바운드 제외 처리(BPA-test-vpc에 대해 아웃바운드 허용)

 

Test 결과

• AWS VPC BPA 활성화 시 모든 VPC의 리소스에 대해 인바운드 및 아운바운드 액세스 차단
• Egress-only의 경우 ICMP Packet은 응답을 받을 수 없기 때문에 직렬 콘솔로 접속하여 단방향인 UDP Packet을 외부로 전송 후 VPC FlowLog를 통해 송신 여부 확인 완료