AWS 공부하다가 보안 설정 기능이 NACL 과 Security Group이 두가지가 있는걸 알고 궁금해졌다.. 이 둘은 무슨 차이가 있어서 나눈건지 알아보도록 하자
우선 NACL과 Security Group이 어디에 위치하는지를 그림과 같이 보면서 둘의 차이점을 알아가보자
NACL (Network ACL)
VPC에서 무료로 NACL 기능을 제공하고 있으며 사용자가 직접 정책을 설정하여 유입되는 트래픽을 제어한다.
NACL의 특징은 다음과 같다
- 서브넷 단위로 적용
- NACL이 설정된 서브넷 안의 모든 인스턴스에 적용
- 1개의 VPC에 NACL 최대 200개 까지 생성 가능
- 1개의 NACL에 인바운드 20개, 아웃바운드 20개 등록 가능
- NACL은 여러개의 서브넷에 적용 가능
- 서브넷은 하나의 NACL만 적용 가능
- 규칙 번호가 낮은것부터 우선 적용
- Stateless 성질 (요청 정보를 따로 저장하지 않기 때문에 응답하는 트래픽에 대한 필터링을 설정해야함)
Security Group (보안그룹)
인스턴스에 대한 인바운드/아웃바운드 트래픽을 제어하는 방화벽 역할을 한다.
NACL과 가장 큰 차이점을 본다면 NACL은 네트워크 방화벽이고, Security Group은 인스턴스 방화벽이다.
Security Group의 특징은 다음과같다.
- 인스턴스 단위로 적용
- 특정 그룹을 지정시에만 인스턴스에 적용
- 1개의 VPC에 SG 최대 2500개 까지 생성 가능
- 1개의 SG에 인바운드 60개, 아웃바운드 60개 등록 가능
- Stateful 성질 (요청 정보를 저장하여 응답하는 트래픽 제어를 하지 않음)
같은 서브넷끼리 통신할 때 : Security Group 정책을 거치면서 통신
다른 서브넷끼리 통신할 때 : NACL의 정책을 먼저 거친 후 , Security Group의 정책을 거치면서 통신
1차적 보안은 Security Group이고 더 나아가 2차 보안까지 하고자 한다면 NACL 까지 설정해주자
*참고*
library.gabia.com/contents/8892/
가비아 라이브러리
IT 콘텐츠 허브
library.gabia.com
'AWS > 용어' 카테고리의 다른 글
| [ELB] ALB / NLB / CLB / GWLB (0) | 2021.05.16 |
|---|---|
| [ElasticCache] Redis VS Memcached (0) | 2021.03.14 |
| [RDS] Multi AZ와 Read replica (0) | 2021.02.21 |
| [AWS] 리전과 가용 영역 (0) | 2021.02.03 |