VPC로 네트워크를 구성하고 EC2를 띄웠다.
그런데 갑자기 SSH 연결이 안되는 이슈가 발생됐다.
인바운드 규칙을 봐야하는데
보안그룹..? NACL...? 어떤걸 봐야지?
보안그룹과 NACL은 항상 헷갈렸던 개념이였다.
이번 기회로 2개의 VPC 방화벽 서비스에 대해서 정리해보려고 한다!
보안 그룹
보안 그룹 생성
보안그룹은 인스턴스 레벨에서 운영한다.
따라서 EC2 > 보안그룹
메뉴에서 보안그룹을 생성할 수 있다.
- 이름, 설명
- VPC
- 인바운드, 아웃바운드 규칙
를 입력하여 보안그룹을 생성할 수 있다.
보안 그룹 규칙
- 기본적으로 보안 그룹은 모든 아웃바운드 트래픽(송신)을 허용한다.
- 보안그룹 규칙은 허용 규칙만 생성 가능하다.
- 거부 규칙은 생성 불가능하다.
예시
소스, 프로토콜, 포트 범위를 설정하여 구체적으로 트래픽 허용 규칙을 설정할 수 있다.
DB 서버의 보안그룹 ID를 주소로 입력하면 해당 DB에 대한 액세스 허용도 가능하다.
네트워크 ACL
네트워크 ACL 생성
네트워크 ACL은 서브넷 레벨에서 운영한다.
따라서 VPC > 네트워크 ACL
메뉴에서 생성할 수 있다.
- 이름
- VPC
을 입력하여 네트워크 ACL을 생성할 수 있다.
생성한 네트워크 ACL을 VPC에 있는 서브넷과 연결해야 한다.
만약 서브넷이 네트워크 ACL을 명시적으로 연결하지 않을 경우, 기본 네트워크 ACL에 자동적으로 연결된다.
네트워크 ACL 규칙
- 기본적으로 사용자가 생성한 네트워크 ACL은
규칙을 추가하기 전에는 모든 인바운드 및 아웃바운드 트래픽을 거부한다. - 각 규칙에는 규칙 번호가 매겨지고,
가장 낮은 번호가 지정된 규칙부터 시작하여 트래픽이 네트워크 ACL과 연결된 서브넷의 내부 또는 외부로 전달되도록 허용되는지 결정된다. - 규칙에 사용할 수 있는 가장 높은 번호는 32766이다.
나중에 필요한 곳에 새 규칙을 삽입할 수 있도록, 처음 시작할 때는 증분 방식으로(예: 10 또는 100 단위씩 증분) 규칙을 생성하는 것을 추천한다. - 보안 그룹과와 달리 허용/거부 여부를 설정할 수 있다.
예시
다음 규칙
- 인바운드 규칙
- 아웃바운드 규칙
참고 레퍼런스
https://www.youtube.com/watch?v=uZssEvTg79s
https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/VPC_SecurityGroups.html#DefaultSecurityGroup
https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/vpc-network-acls.html
