AWS는 VPC 및 인스턴스를 구성하는 경우 기본적으로 트래픽 보호를 위한 Network ACLs(NACL) 기능과 Security Group(SG) 기능을 제공한다.
NACL과 SG는 트래픽을 제어하는데 사용하는 일종의 방화벽 역할을 수행하며 이 과정에서 각 기능 별로 트래픽을 제어하고 처리하는 과정에서 기능 차이가 있다.
#NACL (Stateless Firewalls)
- VPC 및 서브넷을 구성 시 NACL을 통한 트래픽 제어
- NACL은 여러 서브넷에 적용 가능
- NACL 트래픽 제어 정책은 Inbound/Outbound Rule 최대 20개 등록 가능
- 트래픽 제어 시 NACL은 요청정보를 따로 저장하지 않아 응답 트래픽 제어 설정이 필요 (Stateless firewalls)
#SG (Stateful Firewalls)
- 서브넷 내 인스턴스 단위로 보안 그룹 설정이 가능
- 최대 2500개 보안그룹 생성 가능
- 보안그룹 트래픽 제어 정책은 Inbound/Outbound Rule 최대 60개 등록 가능
- 트래픽 제어 시 SG는 요청정보를 저장함으로 응답 트래픽 제어 설정 불필요(Stateful firewalls)
# SG, NACL 트래픽 제어 방식 (정리)
- VPC 내 같은 Subnet 영역에 존재하는 인스턴스끼리의 통신이 이루어지는 경우 SG의 정책만 적용되어 통신
- 외부 및 다른 Subnet 영역과의 통신이 이루어지는 경우 NACL 및 SG의 트래픽 제어 정책이 모두 적용되어 통신
'Cloud' 카테고리의 다른 글
| [AWS] Lambda를 통한 Slack 발송 (0) | 2022.07.19 |
|---|---|
| [AWS] CloudFront 정리 (0) | 2022.02.21 |
| [AWS] Client VPN (0) | 2021.12.08 |
| [AWS] VPC 네트워크 ACL (0) | 2021.08.12 |
| [AWS] WorkSpaces 업무 망 분리 (0) | 2021.08.04 |
