아래 내용은 상상에 의해서 나온 결론으로 틀릴수 있습니다.
말씀드리자면, AWS WAF는 VPC 내부에 상주(배포)되는 서비스가 아니라, AWS가 관리하는 글로벌(혹은 리전) 서비스로서 VPC 외부에 존재합니다.
AWS WAF의 동작 방식 간단 정리
- AWS 리소스 앞단에 위치
- AWS WAF는 CloudFront, Application Load Balancer(ALB), API Gateway, AppSync 등과 연동하여 동작하며, 주로 트래픽이 유입되는 ‘앞단(Edge or ALB/API Gateway 레벨)’에 배치됩니다.
- 이러한 구조상, WAF가 애플리케이션 서버가 있는 VPC 내부에 직접 설치되는 형태가 아니라, 트래픽 라우팅 지점에서 요청을 필터링하는 역할을 합니다.
- AWS 관리형 서비스
- WAF는 사용자가 직접 서버를 프로비저닝하고 관리할 필요가 없는 완전관리형 서비스(Managed Service)입니다.
- 따라서 기존에 우리가 알고 있는 방화벽(예: EC2 인스턴스에 설치하는 IDS/IPS)이나 네트워크 어플라이언스(네트워크 방화벽, NAT 게이트웨이 등)처럼 VPC 내부 서브넷에 직접 배포/관리하는 방식이 아닙니다.
- 호환 및 연동 대상
- VPC 내부의 ALB(즉, VPC 안에서 사용 중인 ALB)에 대해서도 ‘AWS WAF 관리를 통한 웹 공격 방어’가 가능하지만, 이는 ALB와 WAF가 연동되어 동작하는 구조이지, WAF 자체가 VPC 서브넷 내부에 존재하는 것은 아닙니다.
요약
- WAF 위치: “AWS 관리형 서비스”이므로 물리적으로 VPC 내부에 설치되는 것이 아니라, VPC “외부”에서 트래픽을 필터링하는 형태로 동작합니다.
- 사용 예시: ALB나 CloudFront, API Gateway 앞단에서 웹 트래픽에 대해 WAF 정책을 적용하여 보안 규칙(ACL)을 적용할 수 있습니다.
정리하자면, AWS WAF는 각종 AWS 리소스(CloudFront, ALB, API Gateway 등)와 연동되어 동작하나, 물리적으로 VPC 안에 있는 서비스가 아니라 AWS가 관리하는 완전관리형 서비스로서 VPC 외부에서 운영됩니다.