보안그룹?
- 인스턴스에 대한 인바운드, 아웃바운드 트래픽을 제어하는 가상 방화벽 역할.
VPC에서 인스턴스를 시작할 때 최대 5개의 보안 그룹에 인스턴스를 할당 가능. - 보안 그룹은 서브넷 수준이 아니라 인스턴스 수준에서 작동.
보안그룹 특징
- 보안장치
- Network Access List (NACL)와 함께 방화벽의 역할을 하는 서비스
- 포트 허용
- 트래픽이 지나갈 수 있는 포트와 소스를 설정 가능 (특정 소스에서만 가능하게 할 수도 있고, 모든 소스에서 접근 가능하게도 함.)
- Deny는 불가능 (특정 포트를 막을 순 없음, blacklist처럼 ip차단은 불가능) -> NACL로 가능
-> HTTP통신은 80번 포트를 사용함. -> 통신에 필요한 80번 포트 외에는 다른 포트 접근 제어 시킴.
- 인스턴스 단위
- 하나의 인스턴스에 하나 이상의 SG 설정 가능
- NACL의 경우 서브넷 단위
- 설정된 인스턴스는 설정한 모든 SG의 룰을 적용 받음
-
설정된 모든 룰을 사용해서 필터링 (다 검사 후 허용된게 있으면 oK)
- NACL의 경우 적용된 룰의 순서대로 필터링 (막히는게 있으면 나가리)
-
Stateful
- 인바운드로 들어온 트래픽이 별 다른 아웃바운드 설정 없이 나갈 수 있음
- 인바운드 포트 allow 80, 아웃바운드 allow none으로 해도 인바운드로 들어온건 상태를 알기때문에 (stateful) 아웃바운드 설정이 없어도 나갈 수 있음. (트래픽이 들어온거고, 응답을 주는 것일 뿐임)
- NACL은 Stateless
- NACL은 아웃바운드 설정안해주면 응답 안나감.
- 인바운드로 들어온 트래픽이 별 다른 아웃바운드 설정 없이 나갈 수 있음
-
보안그룹의 source는 aws내부 vpc를 지정해주거나, 특정 ip에서만 접근가능하게 끔 할 수 있음 (ex, 0.0.0.0/0)
출처
백엔드를 공부하고 있습니다.