보안 그룹
보안 그룹은 인스턴스에 대한 인바운드, 아웃바운드의 네트워크 트래픽을 제어하는 방식으로 가상의 방화벽 역할을 수행한다.
- VPC에서 인스턴스를 시작할 때 최대 5개의 보안 그룹에 인스턴스를 할당할 수 있다.
- 서브넷 수준이 아니라 인스턴스 수준에서 작동하므로 VPC에 있는 서브넷의 각 인스턴스를 서로 다른 보안 그룹 세트에 할당할 수 있다.
보안 그룹 특징
- 보안 장치
- Network Access Control List (NACL)와 함께 방화벽의 역할을 하는 서비스
- Port 허용
- 트래픽이 지나갈 수 있는 Port와 Source를 설정 가능
- Deny는 불가능 → NACL로 가능
- 인스턴스 단위
- 하나의 인스턴스에 하나 이상의 SG 설정 가능
- NACL의 경우 서브넷 단위
- 설정된 인스턴스는 설정한 모든 SG 룰의 적용을 받음
- Stateful
- 인바운드로 들어온 트래픽이 별 다른 아웃바운드 설정 없이 나갈 수 있음
- 아웃바운드 설정을 따로 해주지 않아도 요청 받은 곳의 ip와 port 정보를 기억해서 응답
- NACL은 stateless
- 아웃바운드 설정을 따로 해주지 않으면 어디로 응답을 보내야 할지 모른다.
- 네트워크 트래픽을 위한 허용 정책은 있으나 차단 정책은 없음
- 차단 정책을 적용하기 위해선 VPC 기능인 NCAL 기능을 이용해야 함
- 인바운드 트래픽과 아웃바운드 트래픽을 별도로 제어 가능
- 초기 보안 그룹 설정에는 인바운드 보안 규칙이 없음
- 처음 EC2를 생성하고 다른 EC2와 통신하기를 원한다면 해당 EC2와의 통신을 위한 인바운드 규칙을 추가해야 한다.
https://youtu.be/IwaJoXpO4l4