AWS NACL vs Security Group

🖊 AWS의 보안 설정 기능 중 NACL과 Security Group은 어떤 차이점이 있는지 궁금해서 글을 작성하였습니다.

위 그림에서 보이듯 가장 큰 차이는 NACL 서브넷에 단위로, Security Group은 인스턴스 단위로 적용된다는 것이다.

Security Group	AWS Network ACL
인스턴스에 대한 인바운드/아웃바운드 트래픽을 제어하는 방화벽 역할	NACL이 설정된 서브넷 안의 모든 인스턴스에 적용
인스턴스 기준 적용(1차 보안 계층)	서브넷 기준 적용(2차 보안 계층)
룰에 대한 허용 규칙만 지원	룰에 대한 허용 및 거부 규칙 지원
아웃바운드 요청에 대한 응답 자동 허용	아웃바운드 요청에 대한 응답 규칙 정의 필요
Stateful, 요청의 들어오는 포트가 80이면 해당 요청의 나가는 응답도 기본적으로 80으로 자동으로 열림	Stateless, 요청이 포트 80을 통해 들어오는 경우 나가는 응답이 동일한 포트 80임을 명시적으로 나타내야 함
등록된 모든 규칙을 평가하여 트래픽 허용	등록된 규칙의 번호순으로 트래픽 허용 및 거부
특정 그룹을 지정시에만 Instance에 적용됨	설정된 서브넷 하단의 모든 Instance에 자동 적용됨

• Security Group

1개의 VPC에 Security Group은 최대 2500개 까지 생성 가능
Security Group별 인바운드 규칙은 최대 60개, 아웃바운드 규칙은 최대 60개 등록 가능
1개의 Instance Network Interface에 설정할 수 있는 SG는 최대 5개 설정 가능

• Network ACL

1개의 VPC에 Network ACL은 최대 200개 까지 생성 가능
1개의 Network ACL에 등록 가능한 규칙은 기본 거부 규칙을 포함하여 인바운드 최대 20개, 아웃바운드 최대 20개 등록 가능. 한도는 최대 40개까지 늘릴 수 있으나 추가 규칙을 처리하기 위해 워크로드가 증가되어 네트워크 성능에 영향을 줄 수 있음

효율적인 운용 방법

같은 서브넷끼리 통신할 때 : Security Group 정책을 거치면서 통신
다른 서브넷끼리 통신할 때 : NACL의 정책을 먼저 거친 후 , Security Group의 정책을 거치면서 통신

NACL은 프로토콜과 포트 설정에 관여하지 않고 트래픽을 허용하되 악의적 트래픽이 의심되는 IP를 규칙 값을 이용해 우선적으로 차단하고 그 다음 프로토콜과 포트 설정을 Security Group에 전적으로 맡겨 각 인스턴스에 필요한 규칙을 서비스 특성에 맞춰 설정하여 관리의 효율을 높이는 식의 방법을 조합하여 사용한다.

참고한 사이트

https://library.gabia.com/contents/8892/
https://www.knowledgehut.com/tutorials/aws/nacl-vs-security-groups
https://inpa.tistory.com/entry/AWS-%F0%9F%93%9A-VPC-%EA%B0%9C%EB%85%90-%EC%82%AC%EC%9A%A9-%EB%B3%B4%EC%95%88-%EC%84%A4%EC%A0%95-Security-Group-NACL