Security Group과 Network ACL을 대충 방화벽 정도로만 인식하고 있으면 aws 상에서 여러 서비스들이 언급될 때 혼란이 있을 수 있다.
둘 다 보안 비슷한 역할인 거 같으니 각각이 어느 영역을 책임지고, 어떤 정책으로 관리하는지 알아보자.
적용 범위
두 서비스 모두 트래픽의 요청(inbound)과 응답(outbound)을 관리하는 공통점이 있지만 담당하고 있는 분야가 다르다.
책임지는 영역이 다르다
Network ACL
Network ACL은 생성 후 subnet 단위로 association 한다. 즉 subnet 단위로 적용되고, subnet 안에 속해있는 instance들도 물론 해당된다.
Security Group
Security Group은 instance 단위로 제어한다.
그래서 aws console에서 찾아보면 Network ACL은 VPC 페이지에 있고, Security Group은 EC2 페이지에 있다.
State
각 정책에 대한 설명에 늘 등장하는 stateful, stateless라는 단어가 있다.
이는 inbound와 outbound에 대한 상태가 의존적이냐, 의존적이지 않냐라는 의미를 가진다.
Network ACL
Network ACL은 stateless 하다.
inbound에 어떤 정책이 적용되어 요청이 들어와도 outbound 정책이 거부하면 응답은 실패한다.
Security Group
Security Group은 stateful 하다.
inbound에 어떤 정책이 적용되어 요청이 들어오면 outbound 정책은 신경 쓰지 않아도 허용된다.
정책
Network ACL
Network ACL은 allow, deny를 모두 적용할 수 있다.
정책을 추가할 때 Rule# 항목이 있는데, 낮은 번호가 우선순위가 높다.
모든 정책과도 일치하지 않을 경우에는 기본 생성되어 있는 * 정책이 적용되는데 이는 모든 트래픽을 거부한다.
Rule#은 꼭 1씩 증가할 필요가 없기 때문에 큼직하게 증가시키며 유연하게 추가하는 걸 권장한다.
Security Group
Security Group은 allow 만 적용할 수 있다.
기본으로 모든 inbound 트래픽은 거부하고 모든 outbound 트래픽은 허용한다.
즉, 기본 Security Group이 적용된 인스턴스라면 외부에서 접근은 못하고 외부로 요청은 가능한 상태가 된다.
출처 :
'[AWS] > ROG' 카테고리의 다른 글
[AWS] [활용] SSM - EC2 Windows 인스턴스 관리자 암호 재설정 (0) | 2022.03.29 |
---|---|
[AWS] Virtual Private Cloud(VPC) 쉽게 이해하기_ACL (0) | 2022.03.29 |
[AWS] VPC란? (0) | 2022.03.29 |
[AWS] EC2Config 서비스를 사용하여 Windows 인스턴스 구성 (0) | 2022.03.29 |
[AWS] [활용] [Userdata 사용법] 시작 시 Windows 인스턴스에서 명령 실행 (0) | 2022.03.28 |
댓글