[AWS SCS] Network ACL & Security Groups

보안 그룹과 네트워크 ACL(NACL) 이해하기

VPC(가상 프라이빗 클라우드) 내에서 보안 그룹과 네트워크 ACL(네트워크 접근 제어 목록, NACL)은 트래픽의 관리와 보안을 위한 중요한 요소입니다. 이 글에서는 보안 그룹과 NACL의 개념과 차이점, 그리고 각각의 설정 방법과 특징을 설명합니다.

---

보안 그룹(Security Groups)

보안 그룹은 EC2 인스턴스와 연동되어 인스턴스에 대한 액세스를 제어하는 서비스입니다. 보안 그룹의 주요 특징은 다음과 같습니다:

• 상태적(Stateful): 인바운드 트래픽이 허용되면 아웃바운드 트래픽도 자동으로 허용됩니다.
• 허용 규칙만 지원: 인바운드 및 아웃바운드 트래픽에 대해 허용 규칙만 설정할 수 있습니다.
• Instance Level: 보안 그룹은 특정 EC2 인스턴스에 할당되며, 그 인스턴스에 연결된 모든 트래픽을 관리합니다.

예를 들어, 클라이언트가 EC2 인스턴스에 연결하려고 할 때, 인바운드 트래픽은 보안 그룹의 규칙을 통과해야 하며, 이는 허용된 특정 IP 주소나 포트에 대한 트래픽만 허용합니다.

---

네트워크 ACL(NACL)

NACL은 서브넷 단위로 설정되는 네트워크 보안 서비스입니다. NACL은 무상태(stateless)이며, 다음과 같은 특징을 가집니다:

• 허용 및 거부 규칙 모두 지원: NACL은 인바운드 및 아웃바운드 트래픽에 대해 허용 및 거부 규칙을 모두 설정할 수 있습니다.
• Stateless: 인바운드 트래픽의 허용 여부가 아웃바운드 트래픽의 허용 여부와는 독립적입니다. 즉, NACL의 규칙에 따라 하나의 트래픽 방향에서 다른 방향으로의 트래픽이 허용되지 않을 수 있습니다.
• Subnet Level: 각 서브넷에 대해 NACL을 설정할 수 있으며, 모든 EC2 인스턴스가 해당 서브넷에 포함된 경우 NACL이 적용됩니다.

NACL은 트래픽이 서브넷으로 들어가기 전에 먼저 평가되며, 규칙에 맞지 않는 경우 트래픽이 허용되지 않습니다. 이는 보안 그룹과 달리 모든 트래픽을 일일이 평가하기 때문에 보다 엄격한 보안을 제공합니다.

---

보안 그룹과 NACL의 차이점

1. 동작 방식:
   • 보안 그룹: 상태적(stateful)으로 인바운드 트래픽이 허용되면 아웃바운드 트래픽도 자동으로 허용됩니다.
   • NACL: 무상태(stateless)로 인바운드 및 아웃바운드 트래픽이 각각 규칙에 따라 평가됩니다.
2. 허용 규칙:
   • 보안 그룹: 허용 규칙만 지원합니다.
   • NACL: 허용 및 거부 규칙을 모두 설정할 수 있습니다.
3. 적용 범위:
   • 보안 그룹: 특정 EC2 인스턴스에만 적용됩니다.
   • NACL: 모든 EC2 인스턴스가 포함된 서브넷에 적용됩니다.

---

NACL과 트래픽 처리

예를 들어, 클라이언트가 특정 DB 인스턴스에 연결하려고 할 때, 클라이언트는 먼저 인바운드 트래픽 규칙을 통과해야 하며, 이후 NACL의 아웃바운드 트래픽 규칙이 평가됩니다. NACL은 인바운드 및 아웃바운드 트래픽 모두에서 특정 포트나 IP 주소를 허용하거나 거부하는 역할을 합니다. 특히 임시 포트(Ephemeral Ports) 설정은 NACL에서 중요한 부분을 차지하며, 트래픽 흐름을 결정짓는 중요한 요소입니다.

---

Ephemeral Ports

임시 포트는 클라이언트가 서버와 통신할 때 사용되는 랜덤 포트로, 트래픽의 생명 동안만 사용됩니다. 예를 들어, 서버에서 클라이언트로 응답할 때, 클라이언트는 임시 포트를 열고 이 포트를 통해 서버로부터의 응답을 받을 수 있습니다. NACL 설정 시, 이 임시 포트의 트래픽을 관리해야 하며, 이는 서브넷과 관련된 NACL 규칙을 통해 가능합니다.

---

결론

보안 그룹과 NACL은 AWS의 보안 인프라에서 필수적인 구성 요소입니다. 보안 그룹은 인스턴스 단위로, NACL은 서브넷 단위로 네트워크 트래픽을 관리합니다. 각각의 특성을 이해하고 적절히 설정하는 것이 클라우드 보안에서 매우 중요합니다.