VPC 내의 네트워크 보안을 살펴보겠다.
Network ACL과 Security Groups가 있다.
EC2 인스턴스의 첫 번째 방어선은
Network ACL = NACL이 있다.
NACL은 서브넷이 들어오고 나가는 트래픽을 제어하는 방화벽이다.
서브넷 레벨에서 허용 또는 거부 rule을 정의할 수 있고 연결할 수 있다.
rule에는 오직 IP주소만 포함할 수 있다.
즉 서브넷에 들어오고 나가는 트래픽을 필터링한다.
두번째 방어선은 Security Groups이다.
ENI와 EC2 인스턴스에 들어오고 나가는 트래픽을 제어하는 방화벽이다.
그리고 Security Groups에는 허용 규칙만 있으며
IP주소와 다른 Security Groups를 참조할 수 있다.
즉, EC2 인스턴스 주변에서 EC2인스턴스로 들어오고 나가는 트래픽을 필터링한다.
NACL과 Security Groups의 차이점을 알아보자.
Security Group | Network ACL |
인스턴스 레벨에서 작동 | 서브넷 레벨에서 작동 |
허용 rules만 지원 | 허용,거부 rules 지원 |
stateful(상태 유지) - 들어온 트래픽은 나갈때 자동으로 허가됨 반환트래픽은 rules에 상관없이 자동으로 허용 |
stateless(무상태) - 들어온 트래픽도 나갈 때 다시 체크해야함 반환트래픽이 명시적으로 허용되어야한다. |
트래픽을 허용할지 결정하기 전에 모든 rule을 평가 | 트래픽을 허용할지 결정할 때 번호순으로 rule을 처리함 |
'IT > AWS' 카테고리의 다른 글
AWS Global Accelerator (0) | 2023.03.05 |
---|---|
AWS Cost Explorer (0) | 2023.03.04 |
AWS Organizations (0) | 2023.03.03 |
AWS Peering (0) | 2023.03.02 |
AWS Site-to-site VPN & Direct Connect (0) | 2023.03.02 |