NACL vs Security Group
| Security Group | Network ACL(NACL) | |
| 인스턴스 방화벽 | 서브넷(네트워크 방화벽) | |
- 보안그룹이 좀 더 작은 개념으로 작동함 -> 보안그룹은 인스턴스 기준!!
- acl이 서브넷 기준 적용이므로 좀 더 크다(2차 보안 계층)
Network ACL
- vpc가 구성되어야만 사용가능
- 외부 통신 담당! 서브넷
- 1개의 VPC에 Network ACL은 최대 200개 까지 생성 가능
- 1개의 Network ACL에 등록 가능한 규칙은 기본 거부 규칙을 포함하여 인바운드 최대 20개, 아웃바운드 최대 20개 등록 가능. 한도는 최대 40개까지 늘릴 수 있으나 추가 규칙을 처리하기 위해 워크로드가 증가되어 네트워크 성능에 영향을 줄 수 있음
Security Group
- 내부 통신 담당 - 인스턴스 단위
- 1개의 VPC에 Security Group은 최대 2500개 까지 생성 가능
- Security Group별 인바운드 규칙은 최대 60개, 아웃바운드 규칙은 최대 60개 등록 가능
- 1개의 Instance Network Interface에 설정할 수 있는 SG는 최대 5개 설정 가능
- 기본적으로 deny이며, allow 해줘야 한다.
예시
- 외부에서 접근- 외부에서 서버로 접근할때는 nacl의 보안정책과 security group 보안정책을 둘다 적용한다.
- 내부통신- security group만 적용한다.
- 서브넷이 다를 경우 - NACL 적용됨, NACL 거친 후에 보안그룹을 적용한다!
- 서브넷 같음 - 보안그룹만 적용!
- NACL - stateless(상태 비저장) 기반으로 인바운드/아웃바운드 정책에 1024- 65535 포트를 허용해야만 통신가능.
- 보안그룹 -방화벽이라고 생각
상태 저장 / 비저장 (stateful / stateless)
- 상태 저장
- 구조 복잡, 세분화된 제어 가능
- ssh프로토콜 - secure shell protocol, 컴퓨터가 인터넷과 같은 퍼블릭네트워크 통신 시 안전하게 하기 위한 프로토콜
- 상태 비저장
- 과거의 정보를 알수 없음
- 간단, 성능 안정성 우수(고기능 아님)
- http 프로토콜
컴퓨터 내부 구조 - 상태 저장 사용, cpu
네트워크 통신 - 상태 비저장, http, 로그인 같은 상태저장 필요할 때는 서버측 세션을 사용
안적어두니까 공부한게 다 날아가네
수정될 수 있음~
'Cloud > AWS' 카테고리의 다른 글
| [AWS] AWS Solutions Architect Associate 합격 후기 및 공부방법 (0) | 2022.06.06 |
|---|---|
| [AWS] DataSync vs Storage Gateway (0) | 2022.03.21 |