yaini
정리하는 습관
yaini
전체 방문자
오늘
어제
  • 분류 전체보기 (43)
    • CS (4)
    • Java (14)
      • build (1)
      • spring (6)
      • JPA (4)
    • Database (5)
      • MySQL (5)
    • Clean Code (11)
    • Devops (9)
      • CI (2)
      • CD (2)
      • AWS (4)
    • ETC (0)

블로그 메뉴

  • 홈
  • 태그
  • 방명록

공지사항

인기 글

태그

  • exsits
  • 디자인패턴
  • 계층형 아키텍처
  • AWS
  • ORM
  • 자바
  • Terraform
  • 격리 수준
  • InnoDB
  • 만들면서 배우는 클린 아키텍처
  • s3
  • Real MySQL 8.0
  • database
  • 생성 패턴
  • 디자인 패턴
  • JPA
  • 레코드 수준 잠금
  • ABAC
  • 구조패턴
  • MySQL
  • 타겟 그룹
  • Hibernate
  • 데이터베이스
  • java
  • SQL
  • Spring
  • 클린 아키텍처
  • querydsl
  • Gradle
  • 구조 패턴

최근 댓글

최근 글

티스토리

hELLO · Designed By 정상우.
yaini

정리하는 습관

[AWS] Security Group
Devops/AWS

[AWS] Security Group

2023. 1. 10. 18:25
반응형

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html

 

Security Group

Security Group 이란?

연결된 리소스에 도달하고 나갈 수 있는 트래픽을 제어하는 가상 방화벽 역할을 한다.

예시로 보안 그룹을 EC2에 연결한다면 EC2의 인바운드, 아웃바운드 트래픽을 제어할 수 있다.

 

특징

  • 허용할 규칙만 지정할 수 있다. (거부 규칙 설정 불가능)
  • 화이트 리스트 방식으로, 규칙을 지정하지 않는다면 모두 차단되어 있다. (Default Deny)
  • 상태 저장 방식 (아래 Stateful 참조)

 

Stateful과 Stateless

stateful

Inbound로 들어온 트래픽이 Outbound 설정과 관계 없이 나갈 수 있다. (Outbound 에서 허용 설정이 없어도 나갈 수 있다.)

허용된 트래픽이라는 상태를 기억한다는 의미에서 stateful 하다고 한다.

 

stateless

Inbound로 트래픽이 들어오더라도 Outbound 가 허용되어 있지 않다면 나갈 수 없다.

 

 

Security Group과 NACL

보안 그룹 Network Acces Control List
인스턴스 레벨에서 운영 서브넷 레벨에서 운영
연결된 인스턴스에만 적용 연결된 서브넷에 배포된 모든 인스턴스에 적용
- 보안 그룹이 지나치게 허용적일 경우 보안 계층 추가 적용 역할
허용 규칙만 지원 허용 및 거부 규칙 지원
트래픽 허용 여부를 결정하기 전 모든 규칙 평가 트래픽 허용 여부를 결정할 때 낮은 번호 규칙부터 우선 순위 평가
상태 저장(stateful): 규칙에 관계 없이 반환 트래픽 허용 상태 비저장(stateless): 반환 트래픽이 규칙에 의해 명시적 적용
암묵적인 접근 금지(Default Deny) 암묵적인 접근 허용(Default Allow)

 

보안 그룹 예시

 

NACL 예시

NACL의 경우 규칙 100번과 같이 명시적으로 아웃바운드를 설정해주어야 트래픽이 나갈 수 있다. 반대로 Security Group은 명시해주지 않아도 들어온 트래픽은 규칙에 관계 없이 나갈 수 있다.

 

 

 

참고 

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/VPC_SecurityGroups.html

https://2ham-s.tistory.com/402

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/vpc-network-acls.html

 

반응형

'Devops > AWS' 카테고리의 다른 글

[AWS] Terraform 3-Tier Architecture - Network  (0) 2023.01.25
[AWS] ALB - Application Load Balancer  (0) 2023.01.13
[AWS] IAM - Identity and Access Management  (0) 2023.01.09
    'Devops/AWS' 카테고리의 다른 글
    • [AWS] Terraform 3-Tier Architecture - Network
    • [AWS] ALB - Application Load Balancer
    • [AWS] IAM - Identity and Access Management
    yaini
    yaini

    티스토리툴바