피드로 돌아가기
Building a Production-Grade 3-Tier AWS Architecture with Terraform: Design Decisions, Trade-offs, and Lessons Learned
Dev.toDev.to
Infrastructure

4-Tier 분리 및 Dual ALB 구조를 통한 Blast Radius 최소화 설계

Building a Production-Grade 3-Tier AWS Architecture with Terraform: Design Decisions, Trade-offs, and Lessons Learned

Atul Vishwakarma2026년 6월 19일11intermediate

Context

기존의 일반적인 3-Tier 설계는 Private 서브넷 내에 API 서버와 DB 접근 권한을 혼재시켜 보안 취약점을 야기함. 특히 Web 계층 침해 시 DB까지 직접 접근 가능한 구조적 한계를 해결해야 하는 상황임.

Technical Solution

  • 보안 경계 강화를 위해 Public, Frontend Private, Backend Private, Database Isolated의 4-Tier 네트워크 토폴로지 설계
  • Frontend와 Backend 사이에 Internal ALB를 추가 배치하여 직접적인 인스턴스 IP 통신을 배제한 추상화 계층 구현
  • RDS 접근 권한을 Backend Tier의 Security Group으로만 한정하여 DB 계층의 완전한 격리 달성
  • Secrets Manager와 IAM Role을 연동하여 런타임에만 시크릿을 주입하는 무상태성(Stateless) 환경 구축
  • Terraform의 random_password와 JSON Blob 형태의 시크릿 관리를 통한 설정 복잡도 감소 및 보안성 강화

- 서브넷 설계 시 '접근 가능성' 기반으로 계층을 세분화하여 Blast Radius를 최소화했는가 - 서비스 간 통신 시 직접 IP 호출 대신 내부 Load Balancer를 통해 가용성과 확장성을 확보했는가 - 시크릿 정보를 이미지나 환경 변수에 하드코딩하지 않고 IAM 기반의 전용 관리 서비스를 활용하는가 - Terraform State의 보안을 위해 Local State에서 Remote State(S3 등)로 전환할 계획이 있는가

원문 읽기