강의복습
<Udemy> Ultimate AWS Certified Developer Associate 2024 NEW DVA-C02
- Section 5: EC2 Fundementals
보안 그룹 (Security Group)
보안 그룹은 모든 AWS 서비스 네트워크 보안의 핵심이라고 볼 수 있다.
보안 그룹은 EC2 인스턴스로 들어오고(Inbound) 나가는(Outbound) 트래픽을 통제한다.
즉, 일종의 '방화벽' 역할을 하는셈이다.
보안 그룹에 연결된 리소스에 적용될 제어 사항을 보안 그룹 규칙이라고 한다.
알아둬야 할 건, 보안 그룹 규칙은 오직 '허용'만 한다는 점이다. 즉, 특정 ip나 ip대역으로부터 오는 (또는 향하는) 트래픽을 차단하지는 못한다는 것이다.
따라서 모든 소스(0.0.0.0/0) 로부터 트래픽을 허용하는 게 아니라 허용할 ip만 설정해놓으면 기타 ip로부터의 인바운드 트래픽은 모두 블락된다.
보안 그룹 규칙은 IP뿐만 아니라 보안 그룹 역시도 참조할 수 있다.
보안 그룹 규칙 구성
보안 그룹 규칙은 다음으로 구성된다.
- 접근을 허용할
port source: 허용할ip범위 (IPv4,IPv6) 또는보안 그룹의 ID- 허용할 트래픽의 유형/프로토콜 (e.g.
HTTPS,SSH,TCP...)
추가 사항
하나의 보안 그룹은 여러 인스턴스에 연결될 수 있다. 공통 보안 사항이라면 재사용하기 용이할 것 이다.
또한 보안 그룹은 리전이나 VPC에 종속적이므로 따로따로 생성해줘야 한다.
SSH 접근에 대해 별개의 보안 그룹을 생성하는게 권장된다고 한다.
아무 설정을 하지 않았을 경우의 인바운드/아웃바운드는 기본적으로,
- (default) 모든 인바운드 트래픽은 BLOCK
- (default) 모든 아웃바운드 트래픽은 AUTHORISED
상태라고 보면 된다.
Port
기본적으로 알아둬야 할 Port 들이 몇 개 있다.
22 = SSH (secure shell) (Linux 계열) EC2 인스턴스에 로그인
21 = FTP (File Transfer Protocol) 파일 업로드/공유
22 = SFTP (Secure File Transfer Protocol) SSH를 사용하여 파일 업로드
80 = HTTP 보안되지 않은 웹사이트에 접속
443 = HTTPS 보안된 웹사이트에 접속
그리고 이건 몰랐는데,
3389 = RDP(Remote Desktop Protocol) 윈도우 인스턴스에 로그인
윈도우 인스턴스에 ssh 접속할 일이 없었어서 3389 포트가 윈도우 로그인에 사용된다는 건 이번에 처음 알았다..
