![[AWS] Security Group](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2Fb4hVus%2FbtrVQpjY5a0%2FPOHUMhdsAEpHgX3SKwRofk%2Fimg.png)
반응형
Security Group
Security Group 이란?
연결된 리소스에 도달하고 나갈 수 있는 트래픽을 제어하는 가상 방화벽 역할을 한다.
예시로 보안 그룹을 EC2에 연결한다면 EC2의 인바운드, 아웃바운드 트래픽을 제어할 수 있다.
특징
- 허용할 규칙만 지정할 수 있다. (거부 규칙 설정 불가능)
- 화이트 리스트 방식으로, 규칙을 지정하지 않는다면 모두 차단되어 있다. (Default Deny)
- 상태 저장 방식 (아래 Stateful 참조)
Stateful과 Stateless
stateful
Inbound로 들어온 트래픽이 Outbound 설정과 관계 없이 나갈 수 있다. (Outbound 에서 허용 설정이 없어도 나갈 수 있다.)
허용된 트래픽이라는 상태를 기억한다는 의미에서 stateful 하다고 한다.
stateless
Inbound로 트래픽이 들어오더라도 Outbound 가 허용되어 있지 않다면 나갈 수 없다.
Security Group과 NACL
| 보안 그룹 | Network Acces Control List |
| 인스턴스 레벨에서 운영 | 서브넷 레벨에서 운영 |
| 연결된 인스턴스에만 적용 | 연결된 서브넷에 배포된 모든 인스턴스에 적용 - 보안 그룹이 지나치게 허용적일 경우 보안 계층 추가 적용 역할 |
| 허용 규칙만 지원 | 허용 및 거부 규칙 지원 |
| 트래픽 허용 여부를 결정하기 전 모든 규칙 평가 | 트래픽 허용 여부를 결정할 때 낮은 번호 규칙부터 우선 순위 평가 |
| 상태 저장(stateful): 규칙에 관계 없이 반환 트래픽 허용 | 상태 비저장(stateless): 반환 트래픽이 규칙에 의해 명시적 적용 |
| 암묵적인 접근 금지(Default Deny) | 암묵적인 접근 허용(Default Allow) |
보안 그룹 예시
NACL 예시
NACL의 경우 규칙 100번과 같이 명시적으로 아웃바운드를 설정해주어야 트래픽이 나갈 수 있다. 반대로 Security Group은 명시해주지 않아도 들어온 트래픽은 규칙에 관계 없이 나갈 수 있다.
참고
https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/VPC_SecurityGroups.html
https://2ham-s.tistory.com/402
https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/vpc-network-acls.html
반응형
'Devops > AWS' 카테고리의 다른 글
| [AWS] Terraform 3-Tier Architecture - Network (0) | 2023.01.25 |
|---|---|
| [AWS] ALB - Application Load Balancer (0) | 2023.01.13 |
| [AWS] IAM - Identity and Access Management (0) | 2023.01.09 |