Security Group
- 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽 역할
- VPC에서 인스턴스를 시작할 때 최대 5개의 보안그룹에 인스턴스를 할당 할 수O
- 보안그룹은 서브넷 수준이 아니라 인스턴스 수준에서 작동하므로, VPC에 있는 서브넷의 각 인스턴스를 서로 다른 보안그룹 세트에 할당 할 수O
- 시작할 때 특정그룹을 지정하지 않으면 인스턴스가 자동으로 VPC의 기본 보안그룹에 할당 됨
특징
1. 보안장치
- Network Access Control List(NACL)와 함께 방화벽 역할을 하는 서비스
2. Port 허용
- 트래픽이 지나갈 수 있는 Port와 Source를 설정 가능
- Deny는 불가능(특정 Port를 막을수는X) --> NACL로 가능함
3. 인스턴스 단위
- 하나의 인스턴스에 하나 이상의 SG설정 가능
- NACL의 경우 서브넷 단위
- 설정된 인스턴스는 설정한 모든 SG의 룰을 적용받음
4. 설정된 모든 룰을 사용해서 필터링
- NACL의 경우 적용된 룰의 순서대로 필터링
5. Stateful
- 인바운드로 들어온 트래픽이 별 다른 아웃바운드 설정 없이 나갈 수 있음
- NACL은 Stateless
- 인바운드는 80번 열고 아웃바운드는 none
- 인바운드 열려있기 때문에 80번포트로 트래픽 보낼 수O
- 아웃바운드는 none이지만 상관없이 트래픽이 나갈 수 있다.
- 왜나면 보안그룹 안에서 트래픽이 들어가는 것을 알고있고 나가야 될것도 알고있다. state(상태)를 알고있다고 해서 stateful임
- 인바운드 된 트래픽에 대한 상태를 알고있어서 아웃바운드에 대한 트래픽까지 적용
- 보안그룹 안에 있는 EC2는 인바운드만 열려있어도 아웃바인드까지 가능
- 인바운드만 열려있고 아웃바운드는 none
- state는 모르겠고 rule대로 하겠다!!
- rule이 아웃바운드는 none이니까 트래픽이 못나감
참고
쿄쿄쿄