[AWS] 보안 그룹과 네트워크 ACL

보안그룹

보안 그룹은 인스턴스 단위의 가상 방화벽으로, ASW리소스에 대한 인바운드와 아웃바운드 트래픽을 제어한다. 트래픽 허용 대상을 IP주소, CIDR 블록 또는 다른 보안 그룹을 기준으로 설정할 수 있다. 이 특징은 AWS 내에서 다른 보안 그룹을 사용하는 인스턴스와의 네트워크 통신을 쉽게 설정할 수 있게 해 준다.

 

주요 특징

인스턴스 단위의 가상 방화벽

• 보안 그룹은 VPC 네트워크 내의 개별 인스턴스에 적용된다. EC2 인스턴스마다 여러 보안 그룹을 적용할 수 있으며, 하나의 보안 그룹이 여러 인스턴스에 적용될 수 있다.

인바운드와 아웃바운드 트래픽을 허용 설정

• 보안 그룹은 허용 규칙만 설정할 수 있다. 기본적으로 허용하지 않은 트래픽은 차단된다.

허용 대상을 IP나 다른 보안 그룹을 기준으로도 가능

 

보안 그룹은 상태를 기억하는 Stateful

• 인스턴스에서 들어오는 트래픽을 허용하면, 그에 대응하는 아웃 바운딩 트래픽도 자동으로 허용된다. 

 

네트워크 ACL

서브넷 수준에서 적용되는 보안 계층이다. 서브넷으로 들어오고 나가는 트래픽을 제어하며, 각 트래픽에 대한 허용, 거부 규칙을 설정할 수 있다.

 

주요 특징

서브넷 단위의 가상 방화벽

• 네트워크 ACL은 VPC내의 서브넷에 적용되며, 서브넷에 속한 모든 리소스에 대한 트래픽을 제어한다.

트래픽을 허용과 거부

• 보안 그룹과 달리, 트래픽을 허용할지 거부할지 선택할 수 있다. 즉, 특정 트래픽을 명시적으로 차단하는 것이 좋다.

대상을 IPv4, IPv6, CIDR으로만 지정가능

네트워크 ACL은 Stateless

• 들어오는 인바운드 트래픽을 허용했다고 해서, 아웃바운드 트래픽이 자동으로 허용되자 않음을 의미한다. 각 방향의 트래픽에 대해 명시적으로 규칙을 설정해야 한다.

 

 

보안 그룹 VS 네트워크 ACL

항목	보안 그룹	네트워크 ACL
적용대상	개별 리소스 (예: EC2 인스턴스)	서브넷 수준
동작 방식	상태 저장 (Stateful)	상태 비저장 (Stateless)
규칙 설정	허용된 규칙만 (Allow)	허용 및 거부 규칙 (Allow & Deny)
트래픽 방향	인바운드/아웃바운드 트래픽 규칙을 같이 설정	인바운드/아웃바운드 규칙을 개별 설정
기본 설정	기본적으로 모든 트래픽을 차단	기본적으로 모든 트래픽을 허용
사용 사례	EC2 인스턴스에 대한 세부적인 보안 설정	서브넷에 대한 전체적인 보안 관리