네트워크 ACL(Network Access Control List)
AWS에서 제공하는 서브넷 수준에서 작동하는 보안 장치.
네트워크 ACL은 상태 비저장(stateless)이며, 모든 트래픽을 처리하기 위해 명시적으로 정의된 규칙을 따른다.
1. 상태 비저장 (Stateless)
네트워크 ACL은 연결의 상태를 추적하지 않으므로 트래픽의 각 패킷은 개별적으로 처리된다.
이것은 요청과 해당 요청에 대한 응답 간의 관련성이 없으므로, 통신을 위해서는 명시적으로 인바운드, 아웃바운드 트래픽에 대한 규칙을 설정해 주어야한다.
2.명시적 규칙
네트워크 ACL에는 규칙을 명시적으로 정의해야 하며, 인바운드 및 아웃바운드 트래픽에 대한 규칙을 분리하여 정의한다.
3. 규칙 우선순위
-
규칙 순서: 네트워크 ACL에서 규칙은 순서대로 적용된다. 따라서 먼저 일치하는 규칙이 적용되고, 나중에 정의된 규칙은 먼저 일치하는 규칙에 의해 오버라이드(무시)된다.
-
우선순위: 각 규칙은 숫자로 표시된 우선순위(번호)를 가진다. 즉, 작은 숫자가 더 높은 우선순위를 나타낸다. 예를 들어, 규칙 100이 규칙 200보다 더 높은 우선순위를 가진다.
4. 작동 범위
네트워크 ACL(NACL)은 Amazon Virtual Private Cloud (VPC) 내에서 사용되며, 주로 서브넷(subnet) 수준에서 구성된다.
보안 그룹(Security Group)
EC2 인스턴스 수준에서 작동하는 보안 그룹
1. 상태 저장 (Stateful)
보안 그룹은 상태 저장형이며, 인바운드 요청에 대한 아웃바운드 응답을 자동으로 허용한다.
예를 들어, 만약 특정 포트로 인바운드 연결이 허용된 경우, 해당 포트로의 아웃바운드 응답 연결도 자동으로 허용된다.
들어온 내용을 기록하는 "상태 저장형"이기 때문이다.
2. 규칙 기반 접근 제어
보안 그룹은 인바운드 및 아웃바운드 규칙을 사용하여 트래픽을 제어한다.
이러한 규칙은 IP 주소 범위, 포트 및 프로토콜을 통해 정의할 수 있다.
3. 규칙 우선순위
여러 규칙이 적용될 경우, 가장 특정한 규칙이 우선권을 가진다. 따라서 가장 구체적인 규칙이 다른 규칙을 무시하게 된다.
4. 작동 범위
보안 그룹은 EC2 인스턴스 수준에서 작동한다.
