AWS 보안 그룹

Security Group

- NACL과 함께 방화벽 역할을 하는 서비스

- 가상의 방화벽

- 인스턴스 단위

- Port 허용만 가능

    - 모든 포트는 비활성화

    - Deny는 불가

- ex) 허용 포트 8080, 443

 

Ephemeral Port: 주로 Client가 서버와 통신하는 데 이용하는 랜덤 포트

Well Known Port: 자주 쓰이는 프로토콜의 포트

 

Stateful(보안 그룹)

- Inbound는 80포트 , Outbound: none이어도, 통신 랜덤포트 정해서 잘함

 

Stateless(NACL)

- 고지식함, Inbound와 Outbound는 내보내려는 포트를 Allow 해야함.

 

NACL

- 가상의 방화벽

- 보안그룹처럼 방화벽 역할을 함.

- Port의 허용과 Deny 가능

- 서브넷 단위로 이루어짐

 

 

---

보안 그룹 Source

IP Range(CIDR)

Prefix List

- 하나 이상의 CIDR 블록 집합

- 보안 그룹 혹은 Route Table에서 많은 대상을 참조하기 위해 사용

- 고객 관리형: 직접 IP주소를 생성/수정/삭제 할 수 있음, 다른 계정과 공유도 가능

- AWS 관리형: AWS 서비스들을 위한 IP목록, 수정, 삭제, 업데이트 X ( DynamoDB, S3, CloudFront)

- IPv4, IPv6 사용 가능하지만, 한 접두사 목록에는 두 가지 타입을 동시에 사용 X

 

보안그룹 참조

- 여러 인스턴스(EC2)가 하나의 보안 그룹(RDS) 참조

- 각 인스턴스의 IP주소와 포트를 inbound에서 허용

- 하지만 AutoScaling으로 인스턴스 갯수도 달라짐

--> 여러 인스턴스가 있는 보안 그룹을 RDS가 있는 보안 그룹에서 허용 -> 인스턴스를 일일이 inbound 설정 필요 없음

- Inbound 규칙 60개, Outbound 규칙 60개(IPv4, IPv6 각각)

 

- Elastic Network Interface당 최대 보안 그룹은 5개 ~ 16개(증가)

- 한 인스턴스 당 최대 적용 가능 규칙은 1000개

 

 

* User가 Load Balancer를 거치지 않고 인스턴스에 직접 접근하고 싶을 때 막는 방법

--> 보안 그룹 참조를 통해 인스턴스들의 인바운드 규칙 삭제 

-> 인바운드 규칙에서 load balancer 보안 규칙을 참조함