#006) AWS 보안 설정하기 Security group/NACL

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html

Control traffic to subnets using Network ACLs - Amazon Virtual Private Cloud

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html

Control traffic to resources using security groups - Amazon Virtual Private Cloud

 

 

AWS 자원을 관리할 때 신경써야하는 기본 보안 설정에는 보안그룹과 네트워크 ACL 이 있습니다.

각각의 차이를 잘 파악한 뒤 필요에 따라 사용하는 것이 중요합니다.

 

보안 목적

Network ACL - 서브넷 바깥에서 서브넷을 오가는 트레픽을 제어해줍니다.
Security Gorup - 서브넷 안에서 인스턴스들로 오가는 트레픽을 제어해줍니다.
( 인스턴스의 ENI Elastic Network Interface 에 적용되므로 eni 를 갖는 인스턴스들에
해당됩니다. )

 

보안 성격

Network ACL - 특정 ip 를 필요에 따라 허용하고 막을 수 있습니다.
  ( Stateless 로 인바운드로 통과하는 ip 를 기억하지못해 아웃바운드로 나갈수있도록 해줘야합니다.)
Security Gorup - 특정 ip 를 허용할순 있지만 특정 ip 를 막지는 못합니다. 
 ( Stateful 로 인바운드로 통과하는 ip를 기억해 아웃바운드로 바로 지나갈수 있게 해줍니다.)

 

보안 범위
Network ACL - 서브넷은 한개의 NACL 에 적용가능합니다. 여러가지 규칙을 부여할 수 있습니다.
Security Gorup - 인스턴스 생성시 생성할수도있고 따로 생성했다가 부여할수도 있습니다. 
 한 인스턴스의 여러 보안그룹을 넣어 다양한 규칙을 갖게할수도 있습니다.

 

보안 규칙
Network ACL - 규칙 순서가 있어 작은 규칙 숫자가 부여된 규칙이 우선순위를 가집니다. ( 100 -> 300 -> 400 )
       따라서 서로 다른 어긋나는 규칙들이 있어도 우선순위를 가지는것을 선택합니다.
Security Group - 모든 규칙을 고려합니다.

 

 

1. NACL 생성하기

VPC- NACL 생성하기로 갑니다. VPC 를 생성하면 NACL 은 기본으로 생기지만 추가로 하나 만들어 보겠습니다.

이름을 설정하고 VPC 에 연결 해 주고 생성해줍니다.

 

 

 

생성한 NACL 의 설정으로가서 원하는 서브넷들을 연결 해 줍니다.

 

 

생성한 NACL 설정의 인바운드 편집으로 가서 원하는 포트를 열어 줍니다.

100 단위로 규칙 번호를 부여했습니다. 100, 200 번호를 가지는 모든 주소에서 서브넷으로 들어오는 HTTP, SSH 포트는 Allow 되었습니다.

참고로 300 번호에 모든 주소의 IP 는 Deny 를 해 보았습니다. 즉슨 앞선 번호로 우선권을 가지는 두개의 포트번호를 제외한 모든 주소가 Deny 되어버립니다. 

 

 

생성한 NACL 설정의 아웃바운드 규칙도 설정해줘야 합니다.

서브넷으로 들어온 주소 중 랜덤한 임시포트로 나갈 수 있는 범위 1024-65535 를 열어주어 나갈 수 있도록 해줍니다.

 

 

2. Security Group 생성하기

EC2- Security Group 보안그룹 생성하기로 갑니다.

보안그룹 이름과, 연결할 vpc 를 선택합니다.

SSH, HTTP 포트를 열어 줄 예정이라 표시해두었습니다.

 

 

 

추후에 부착 할 인스턴스에 들어가는 인바운드 룰과 인스턴스에서 외부로 나가는 아웃바운드 룰이 있습니다.

인바운드 룰에 SSH, HTTP 포트를 열어주어 모든 IP 주소로 나가게끔 설정해주었습니다.

보안그룹은 인바운드로 들어온 주소들을 기억해 나가게 해주므로

특이사항이 없는 한 아웃바운드 룰은 그대로 두겠습니다.