VPC 보안 : 보안 그룹 VS 네트워크 ACL

보안그룹

• 인스턴스 레벨의 가상 방화벽이라고 생각하면 됨
• 인바운드 규칙과 아웃바운드 규칙 설정하여 트래픽을 제어할 수 있음

  보안 그룹 특성

• 기본적으로 모든 인바운드 규칙은 차단되어 있음. 따라서 허용할 규칙들만 허용할 수 있음
• 아웃바운드는 기본적으로 모두 허용되어 있음
• 거부 규칙은 생성할 수 없다. only 허용 규칙만!
• 상태 기반임(나가는 요청에 관련된 응답은 인바운드 규칙에 상관없이 응답이 들어옴)

  네트워크 ACL

• 서브넷 레벨의 방화벽
• 무상태 방식임 (세션이 저장이 안되기 때문에 응답트래픽을 허용해주어야함)
• 기본 NACL은 모든 트래픽을 허용, 그렇지만 특정 트래픽을 허용하거나 거부하는 규칙 추가 가능
• 사용자가 ACL을 생성할경우, 기본적으로 모든 트래픽을 거부

  네트워크 ACL 규칙

• 별도의 인바운드/아웃바운드 규칙이 존재함
• 각 규칙은 10 또는 100 단위로 트래픽을 허용 또는 거부 가능
  

  

• 기본적으로 보안그룹을 생성하면 인바운드 규칙은 없고 아웃바운드만 모두 열려있다.
  

  

• 기본 ACL은 모든 트래픽이 허용되어있음
  

  

• 새로 생성한 ACL은 모든 트래픽을 거부