[AWS SCS] Security Groups

보안 그룹 아웃바운드 규칙과 관리 프리픽스 목록 사용법

보안 그룹의 아웃바운드 규칙은 기본적으로 모든 곳으로의 트래픽을 허용하지만, 특정 프리픽스만 허용할 수 있는 유연성을 제공합니다. 예를 들어, 포트 443에 대해 Amazon S3의 US East 1 리전에만 아웃바운드 접근을 설정할 수 있습니다. 이런 경우, 프리픽스를 사용하여 오직 S3에 대한 트래픽만 허용할 수 있습니다.

이와 같은 개념은 **관리 프리픽스 목록(Managed Prefix Lists)**을 도입하게 합니다. 관리 프리픽스 목록은 하나 이상의 CIDR 블록으로 구성되며, 이를 통해 보안 그룹과 라우팅 테이블을 보다 쉽게 구성할 수 있습니다. 예를 들어, 계정 내에서 특정 CIDR 블록들(CIDR 1, CIDR 2, CIDR 3)을 정의하고 이를 다른 계정과 공유할 수 있습니다. 이러한 커스텀 관리 프리픽스 목록은 자신이 정의하고 관리하는 CIDR 세트로, 다른 계정이나 조직 간에 손쉽게 적용할 수 있습니다.

AWS에서는 AWS 관리 프리픽스 목록도 제공됩니다. 이는 특정 AWS 서비스(예: Amazon S3, Amazon CloudFront, DynamoDB, Ground Station 등)의 CIDR 세트로, 생성, 수정, 공유, 삭제가 불가능하지만, 사용할 수 있습니다. 이러한 프리픽스 목록을 통해 여러 서비스에 대한 접근을 보다 직관적이고 안전하게 설정할 수 있습니다.

결론적으로, 보안 그룹 아웃바운드 규칙과 관리 프리픽스 목록을 적절히 활용하면 계정 간 트래픽 관리가 용이해지고 보안이 강화됩니다. 이를 통해 더 효율적이고 안전한 클라우드 인프라 관리를 할 수 있습니다.

보안 그룹에 대한 깊이 있는 이해와 시험 준비

보안 그룹(Security Groups)은 AWS 환경에서 중요한 보안 제어 메커니즘으로, EC2 인스턴스와 연결된 네트워크 액세스를 관리합니다. 이번 강의에서는 보안 그룹의 동작 원리와 관련된 몇 가지 중요한 개념을 다루고, 시험에 자주 등장할 수 있는 시나리오들을 살펴보겠습니다.

기존 연결의 유지

보안 그룹을 수정할 때 중요한 점은, 기존 연결이 단절되지 않는다는 것입니다. 이는 기존에 설정된 규칙을 기반으로 이미 허용된 연결은 시간이 만료될 때까지 유지된다는 것을 의미합니다. 예를 들어, 보안 그룹이 어디에서나 SSH 포트 22로의 접근을 허용하는 규칙을 가질 때, 해당 규칙을 삭제하더라도 기존의 SSH 연결은 여전히 작동합니다. 이 연결은 보안 그룹의 허용 규칙이 유효했던 시점에서 유지되며, 타임아웃될 때까지 계속 연결 상태로 남아있습니다.

네트워크 ACL 활용

기존 연결을 강제로 종료하려면 네트워크 ACL(Network Access Control List, NACL)을 활용할 수 있습니다. 네트워크 ACL은 서브넷 수준에서 트래픽을 차단하는 규칙을 정의할 수 있도록 해줍니다. 예를 들어, 특정 포트에 대한 트래픽을 막는 규칙을 추가하면 해당 포트로의 모든 접근이 차단됩니다. 이는 네트워크 ACL이 상태 없는 시스템이기 때문에 모든 인바운드 및 아웃바운드 트래픽에서 평가되어 연결이 즉시 닫히게 합니다. 반면, 보안 그룹은 상태가 유지되는 시스템으로, 연결이 허용된 시점에서 되돌아오는 트래픽도 자동으로 허용됩니다.

시험 대비 팁

보안 그룹과 네트워크 ACL의 차이점을 명확히 이해하는 것이 중요합니다. 보안 그룹은 상태가 있는 방식으로, 연결이 처음 허용되었을 때 아웃바운드 트래픽이 자동으로 허용됩니다. 반면, 네트워크 ACL은 상태가 없는 방식으로 모든 트래픽을 평가하여 첫 번째 매칭 규칙이 연결의 허용 여부를 결정합니다. 이러한 차이를 명확히 이해하고 있어야 보안 그룹과 네트워크 ACL에 관련된 시험 문제를 잘 풀 수 있습니다.

시험에서는 보안 그룹의 규칙 수정 시 기존 연결의 유지와 네트워크 ACL의 역할, 그리고 이 둘의 차이점을 이해하는 문제가 자주 출제될 수 있으니, 이 개념들을 깊이 이해하고 있기를 권장합니다.