[AWS] Security Group

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html

 

Security Group

Security Group 이란?

연결된 리소스에 도달하고 나갈 수 있는 트래픽을 제어하는 가상 방화벽 역할을 한다.

예시로 보안 그룹을 EC2에 연결한다면 EC2의 인바운드, 아웃바운드 트래픽을 제어할 수 있다.

 

특징

• 허용할 규칙만 지정할 수 있다. (거부 규칙 설정 불가능)
• 화이트 리스트 방식으로, 규칙을 지정하지 않는다면 모두 차단되어 있다. (Default Deny)
• 상태 저장 방식 (아래 Stateful 참조)

 

Stateful과 Stateless

stateful

Inbound로 들어온 트래픽이 Outbound 설정과 관계 없이 나갈 수 있다. (Outbound 에서 허용 설정이 없어도 나갈 수 있다.)

허용된 트래픽이라는 상태를 기억한다는 의미에서 stateful 하다고 한다.

 

stateless

Inbound로 트래픽이 들어오더라도 Outbound 가 허용되어 있지 않다면 나갈 수 없다.

 

 

Security Group과 NACL

보안 그룹	Network Acces Control List
인스턴스 레벨에서 운영	서브넷 레벨에서 운영
연결된 인스턴스에만 적용	연결된 서브넷에 배포된 모든 인스턴스에 적용 - 보안 그룹이 지나치게 허용적일 경우 보안 계층 추가 적용 역할
허용 규칙만 지원	허용 및 거부 규칙 지원
트래픽 허용 여부를 결정하기 전 모든 규칙 평가	트래픽 허용 여부를 결정할 때 낮은 번호 규칙부터 우선 순위 평가
상태 저장(stateful): 규칙에 관계 없이 반환 트래픽 허용	상태 비저장(stateless): 반환 트래픽이 규칙에 의해 명시적 적용
암묵적인 접근 금지(Default Deny)	암묵적인 접근 허용(Default Allow)

 

보안 그룹 예시

 

NACL 예시

NACL의 경우 규칙 100번과 같이 명시적으로 아웃바운드를 설정해주어야 트래픽이 나갈 수 있다. 반대로 Security Group은 명시해주지 않아도 들어온 트래픽은 규칙에 관계 없이 나갈 수 있다.

 

 

 

참고 

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/VPC_SecurityGroups.html

https://2ham-s.tistory.com/402

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/vpc-network-acls.html