[AWS] Network ACL, Security Group
AWS의 보안 설정 기능인 ACL과 SG의 차이점을 알아보기 전
간단하게 방화벽 규칙에 대해서 알아보자
인바운드 (inbound)
- 서버 내부로 들어오는 것
- 클라이언트 --> 서버 (외부에서 EC2 인스턴스로 들어오는 트래픽)
- ex) 클라이언트가 업로드할 때
아웃바운드 (outbound)
- 서버 바깥으로 나가는 것
- 서버 --> 클라이언트 (EC2 인스턴스에서 외부로 나가는 트래픽)
- ex) 클라이언트가 다운로드 할 때
ACL (Access Control List)
서브넷 수준에서 작동하는 방화벽
별개의 인바운드 및 아웃바운드 규칙이 있으며 각 규칙은 트래픽을 허용하거나 거부 할 수 있다.
기본 네트워크 ACL은 인바운드 및 아웃바운드 트래픽을 모두 허용한다.
네트워크 ACL은 상태를 저장하지 않는다.
반환 트래픽이 규칙에 의해 명시적으로 허용되어야 한다.
💡 사용자 지정 네트워크 ACL
규칙을 추가하기 전에는 모든 인바운드 및 아웃바운드 트래픽을 거부한다.
허용 및 거부 규칙을 지정할 수 있으며, 번호가 가장 낮은 규칙부터 번호순으로 평가한다.
VPC의 보안 카테고리에서 설정이 가능하다.
SG (Security Group)
인스턴스 수준에서 작동하는 방화벽
별개의 인바운드 및 아웃바운드 규칙이 있으며 각 규칙은 트래픽을 허용만 할 수 있다. (거부 규칙 X)
기본 보안 그룹은 모든 인바운드 트래픽을 거부한다
보안 그룹은 상태를 저장 한다.
규칙에 관계 없이 반환 트래픽이 자동으로 허용된다.
모든 규칙은 트래픽 허용을 결정하기 전에 평가된다.
(ACL은 트래픽 허용을 결정하기 전에 번호순으로 평가된다.)
인스턴스의 네트워크 및 보안 카테고리에서 확인할 수 있으며,
VPC의 보안 카테고리에서도 확인이 가능하다.
아래는 정리
출처 : https://library.gabia.com/contents/8892/
| Security Group | AWS Network ACL |
| 인스턴스 기준 적용(1차 보안 계층) | 서브넷 기준 적용(2차 보안 계층) |
| 룰에 대한 허용 규칙만 지원 | 룰에 대한 허용 및 거부 규칙 지원 |
| 아웃바운드 요청에 대한 응답 자동 허용 | 아웃바운드 요청에 대한 응답 규칙 정의 필요 |
| 등록된 모든 규칙을 평가하여 트래픽 허용 | 등록된 규칙의 번호순으로 트래픽 허용 및 거부 |
| 특정 그룹을 지정시에만 Instance에 적용됨 | 설정된 서브넷 하단의 모든 Instance에 자동 적용됨 |
Network ACL
- 1개의 VPC에 Network ACL은 최대 200개 까지 생성 가능
- 1개의 Network ACL에 등록 가능한 규칙은 기본 거부 규칙을 포함하여, 인바운드 최대 20개, 아웃바운드 최대 20개 등록 가능
- 최대 40개까지 늘릴 수 있으나 추가 규칙을 처리하기 위해 워크로드가 증가되어 네트워크 성능에 영향을 줄 수 있음
Security Group
- 1개의 VPC에 Security Group은 최대 2500개 까지 생성이 가능
- Security Group 별 인바운드 규칙은 최대 60개, 아웃바운드 규칙은 최대 60개 등록 가능
- 1개의 Instance Network Interface에 설정할 수 있는 SG는 최대 5개
'💻 CSP > AWS' 카테고리의 다른 글
| [AWS] EFS(Elastic File System) (0) | 2023.08.04 |
|---|---|
| [AWS] IAM(Identity and Access Management) (0) | 2023.07.31 |
| [AWS] AWS CLI를 사용해 SQS 대기열 관리하기 (0) | 2023.07.02 |
| [AWS] SQS 모니터링 (0) | 2023.07.01 |
| [AWS] AWS Athena (0) | 2023.06.02 |
