AWS 보안그룹

보안 그룹

• 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽 역활을 합니다.
• Network Access Control List(NACL)와 함께 방화벽의 역할을 하는 서비스
• Port 허용
  • 기본적으로 모든 포트는 비활성화
  • 선택적으로 트래픽이 지나가 수 있는 Port와 Source를 설정 가능
  • Deny는 불가능 -> NACL 로 가능함
• 인스턴스 단위 (정확히는 ENI단위)
  • 하나의 인스턴스에 하나 이상의 SG설정 가능
  • NACL의 경우 서브넷 단위
  • 설정된 인스턴스는 설정한 모든 SG의 룰을 적용 받음

> Stateful

• 보안그룹은 Stateful
• Inbound로 들어온 트래픽이 별 다른 별 다른 Outbound 설정 없이 나갈 수 있으
• NACL은 Stateless

> 보안 그룹의 Source

• IP Tange(CIDR)
• 접두사 목록
• 다른 보안 그룹(보안그룹 참조)

> 접두사 목록 (Prefix List)

• 하나 이상의 CIDR 블록의 집합
• 보안 그룹 혹은 Route Table에서 많은 대상을 참조하기 위해 사용
• 두 가지 종류
  • 고객 관리형 : 직접 IP주소를 생성/수정/삭제 할 수 있으며 다른 계정과도 공유 가능
  • AWS 관리형 : AWS의 서비스들을 위한 IP목록, 수정, 삭제, 업데이트가 불가능함
    • DynamoDB, S3, CloudFront
• IPv4, IPv6 둘다 사용 가능, 단 한 접두사 목록에 두 가지 타입을 동시에 사용 불가능
• 생성 시점에 최대 엔트리 숫자를 지정(이후 변경 가능)
• 즉 한쪽이 미리 빼둔 테이플을 참조하여 보안그룹을 생성하여 참조 테이블에서 삭제되거나 추가된 직시 반영 가능
  

  

> 보안그룹 참조

• 그림에 보이는 Seg-Inbound 규칙에 소스 부분에 해당하는 SeG-EC2 보안그룹을 참조 함으로써 정리가 된다.

> 보안 그룹(Security Group) Limit

• 리전 당 2500개 -> 증가 요청 가능
• 인바운드 규칙 60개, 아웃바운드 규칙 60개(IPv4, IPv6 구분) -> 증가 요청 가능
  • 즉 IPv4 인바운드 60개 IPv6 인바운드 60개 가능
• ENI당 최대 보안 그룹 5개, 최대 16개 까지 증가 가능
• 한 인스턴스당 최대 적용 가능 규칙은 1000개
  • 예 : 16x(인바운드 규칙 x60 + 아웃바운드 규칙 x60)= 1920개 규칙은 불가능

" 출처 : https://www.youtube.com/@AWSClassroom "