반응형
보안그룹
보안 그룹은 인스턴스 단위의 가상 방화벽으로, ASW리소스에 대한 인바운드와 아웃바운드 트래픽을 제어한다. 트래픽 허용 대상을 IP주소, CIDR 블록 또는 다른 보안 그룹을 기준으로 설정할 수 있다. 이 특징은 AWS 내에서 다른 보안 그룹을 사용하는 인스턴스와의 네트워크 통신을 쉽게 설정할 수 있게 해 준다.
주요 특징
인스턴스 단위의 가상 방화벽
- 보안 그룹은 VPC 네트워크 내의 개별 인스턴스에 적용된다. EC2 인스턴스마다 여러 보안 그룹을 적용할 수 있으며, 하나의 보안 그룹이 여러 인스턴스에 적용될 수 있다.
인바운드와 아웃바운드 트래픽을 허용 설정
- 보안 그룹은 허용 규칙만 설정할 수 있다. 기본적으로 허용하지 않은 트래픽은 차단된다.
허용 대상을 IP나 다른 보안 그룹을 기준으로도 가능
보안 그룹은 상태를 기억하는 Stateful
- 인스턴스에서 들어오는 트래픽을 허용하면, 그에 대응하는 아웃 바운딩 트래픽도 자동으로 허용된다.
네트워크 ACL
서브넷 수준에서 적용되는 보안 계층이다. 서브넷으로 들어오고 나가는 트래픽을 제어하며, 각 트래픽에 대한 허용, 거부 규칙을 설정할 수 있다.
주요 특징
서브넷 단위의 가상 방화벽
- 네트워크 ACL은 VPC내의 서브넷에 적용되며, 서브넷에 속한 모든 리소스에 대한 트래픽을 제어한다.
트래픽을 허용과 거부
- 보안 그룹과 달리, 트래픽을 허용할지 거부할지 선택할 수 있다. 즉, 특정 트래픽을 명시적으로 차단하는 것이 좋다.
대상을 IPv4, IPv6, CIDR으로만 지정가능
네트워크 ACL은 Stateless
- 들어오는 인바운드 트래픽을 허용했다고 해서, 아웃바운드 트래픽이 자동으로 허용되자 않음을 의미한다. 각 방향의 트래픽에 대해 명시적으로 규칙을 설정해야 한다.
보안 그룹 VS 네트워크 ACL
| 항목 | 보안 그룹 | 네트워크 ACL |
| 적용대상 | 개별 리소스 (예: EC2 인스턴스) | 서브넷 수준 |
| 동작 방식 | 상태 저장 (Stateful) | 상태 비저장 (Stateless) |
| 규칙 설정 | 허용된 규칙만 (Allow) | 허용 및 거부 규칙 (Allow & Deny) |
| 트래픽 방향 | 인바운드/아웃바운드 트래픽 규칙을 같이 설정 | 인바운드/아웃바운드 규칙을 개별 설정 |
| 기본 설정 | 기본적으로 모든 트래픽을 차단 | 기본적으로 모든 트래픽을 허용 |
| 사용 사례 | EC2 인스턴스에 대한 세부적인 보안 설정 | 서브넷에 대한 전체적인 보안 관리 |
반응형
'인프라 > AWS' 카테고리의 다른 글
| [AWS] EC2 인스턴스 생성 및 설정 (0) | 2024.09.23 |
|---|---|
| [AWS] EC2 소개 - 클라우딩 컴퓨팅 서비스 (0) | 2024.09.23 |
| [AWS] VPC 네트워크 구성 실습 (1) | 2024.09.23 |
| [AWS] VPC란? VPC의 구성 요소와 보안 강화를 위한 필수 요소들 (0) | 2024.09.18 |
| [AWS] 예산 설정해서, 초과되는 비용 확인하기 (1) | 2024.09.18 |
