[AWS] Security Group vs NACL 차이점

NACL vs Security Group

	Security Group	Network ACL(NACL)
	인스턴스 방화벽	서브넷(네트워크 방화벽)

 

• 보안그룹이 좀 더 작은 개념으로 작동함 -> 보안그룹은 인스턴스 기준!!
• acl이 서브넷 기준 적용이므로 좀 더 크다(2차 보안 계층)

 

Network ACL

• vpc가 구성되어야만 사용가능
• 외부 통신 담당! 서브넷
• 1개의 VPC에 Network ACL은 최대 200개 까지 생성 가능
• 1개의 Network ACL에 등록 가능한 규칙은 기본 거부 규칙을 포함하여 인바운드 최대 20개, 아웃바운드 최대 20개 등록 가능. 한도는 최대 40개까지 늘릴 수 있으나 추가 규칙을 처리하기 위해 워크로드가 증가되어 네트워크 성능에 영향을 줄 수 있음

Security Group

• 내부 통신 담당 - 인스턴스 단위
• 1개의 VPC에 Security Group은 최대 2500개 까지 생성 가능
• Security Group별 인바운드 규칙은 최대 60개, 아웃바운드 규칙은 최대 60개 등록 가능
• 1개의 Instance Network Interface에 설정할 수 있는 SG는 최대 5개 설정 가능
• 기본적으로 deny이며, allow 해줘야 한다.

예시

1. 외부에서 접근- 외부에서 서버로 접근할때는 nacl의 보안정책과 security group 보안정책을 둘다 적용한다.
2. 내부통신- security group만 적용한다.
3. 서브넷이 다를 경우 - NACL 적용됨, NACL 거친 후에 보안그룹을 적용한다!
4. 서브넷 같음 - 보안그룹만 적용!
5. NACL - stateless(상태 비저장) 기반으로 인바운드/아웃바운드 정책에 1024- 65535 포트를 허용해야만 통신가능.
6. 보안그룹 -방화벽이라고 생각

 

상태 저장 / 비저장 (stateful / stateless)

• 상태 저장
• 구조 복잡, 세분화된 제어 가능
• ssh프로토콜 - secure shell protocol, 컴퓨터가 인터넷과 같은 퍼블릭네트워크 통신 시 안전하게 하기 위한 프로토콜
• 상태 비저장
• 과거의 정보를 알수 없음
• 간단, 성능 안정성 우수(고기능 아님)
• http 프로토콜

컴퓨터 내부 구조 - 상태 저장 사용, cpu

네트워크 통신 - 상태 비저장, http, 로그인 같은 상태저장 필요할 때는 서버측 세션을 사용

 

 

안적어두니까 공부한게 다 날아가네

수정될 수 있음~