배경
보안 그룹에 대해 막연하게만 알고 있어서 조금 더 깊이 알아보기로 함. 여기서 추가로 어려운게 생기면 후속 리서치 예정
요약
Virtual Private Cloud(VPC)의 보안을 강화하고 모니터링하는 데 사용할 수 있는 여러 기능 중 하나.
트래픽에 대해 관리하고 추적하는 것들.
그 중 보안그룹과 acl은 특정 인/아웃 바운드 트래픽에 대해 제어하는 기능.
- 보안그룹
- ACL(Network Access Control List)
- flow log
- traffic monitoring
비교
공통점
다음 항목에 대해서는 제어하지 않는다.
- Amazon Domain Name Services(DNS)
- Amazon Dynamic Host Configuration Protocol(DHCP)
- Amazon EC2 인스턴스 메타데이터
- Amazon ECS 태스크 메타데이터 엔드포인트
- Windows 인스턴스에 대한 라이선스 활성화
- Amazon Time Sync Service
- 기본 VPC 라우터에서 사용하는 예약된 IP 주소
차이점
| 보안 그룹 | 네트워크 ACL |
| 인스턴스 레벨(해당 리소스를 감싸는 느낌)에서 운영됩니다. | 서브넷 레벨에서 운영됩니다. |
| 인스턴스와 연결된 경우에만 인스턴스에 적용됨 | 연결된 서브넷에서 배포된 모든 인스턴스에 적용됨(보안 그룹 규칙이 지나치게 허용적일 경우 추가 보안 계층 제공) |
| 허용 규칙만 지원 | 허용 및 거부 규칙 지원 |
| 트래픽 허용 여부를 결정하기 전에 모든 규칙을 평가 | 트래픽 허용 여부를 결정할 때 가장 낮은 번호의 규칙부터 순서대로 규칙을 평가합니다. |
| 상태 저장: 규칙에 관계없이 반환 트래픽이 허용됨 | 상태 비저장: 반환 트래픽이 규칙에 따라 명시적으로 허용되어야 함 |
참고문서
https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/VPC_SecurityGroups.html
보안 그룹을 사용하여 리소스에 대한 트래픽 제어 - Amazon Virtual Private Cloud
Anywhere-IPv4를 선택하면 모든 IPv4 주소가 지정된 프로토콜을 사용하여 인스턴스에 액세스할 수 있습니다. 포트 22(SSH) 또는 3389(RDP)에 대한 규칙을 추가하는 경우 특정 IP 주소 또는 주소 범위만 인
docs.aws.amazon.com
'Infra & DevOps > AWS' 카테고리의 다른 글
| [AWS] Route53 vs Cloud map (0) | 2023.04.09 |
|---|---|
| [AWS] VPC endpoint vs NAT gateway (0) | 2023.04.09 |
| [AWS]ElastiCache vs memoryDB (0) | 2023.04.09 |
| [AWS]Session Manager 로 인스턴스 접속 (0) | 2022.10.11 |
| ssh로 aws 인스턴스 접속 오류 (0) | 2022.10.11 |