AWS VPC 및 네트워크 보안
· 약 2분
Security Group (보안그룹)
- 인스턴스에 대한 Inbound 및 Outbound 트래픽을 제어하는 가상 방화벽 역할
- VPC에서 인스턴스 시작시, 최대 5개의 보안 그룹에 인스턴스 할당 가능
- 기본적으로 모든 포트는 비활성화
- 선택적으로 트래픽이 지나갈 수 있는 Port와 Source를 설정 가능
- Deny는 불가능
- 인스턴스 단위 : 하나의 EC2 인스턴스에만 적용되고, 하나의 인스턴스에 하나 이상의 보안 그룹을 설정할 수 있음
- Stateful : Inbound로 들어온 트래픽이 별다른 Outbound 설정 없이 나갈 수 있음
NACL
- Network Access Control List
- 보안 그룹처럼 방화벽 역할을 담당
- 서브넷 단위
- 포트 및 IP를 직접 Deny 가능
- 외부 공격을 받는 상황 등 특정 IP를 블록하고 싶을 때 사용
- 순서대로 규칙평가(낮은 숫자부터)
VPC의 보안 모법 사례
- 다양한 가용 영역에 여러 서브넷 생성
- 최대한 분산시켜 저장
- 보안그룹으로 EC2 인스턴스 트래픽 제어
- NACL을 활용하여 서브넷 수준 트래픽 제어
- IAM을 활용하여 트래픽 제어
- VPC 흐름 로그 활용