[Practitioner] Amazon 보안 그룹

1. Amazon 보안 그룹

1) 보안 그룹

보안 그룹은 인스턴스에 대한 인바운드, 아웃바운드의 네트워크 트래픽을 제어하는 가상의 방화벽 역할을 수행한다. EC2는 각 인스턴스당 최대 5개의 보안 그룹을 할당 할 수 있다. 구성된 보안 그룹은 기존의 온프라미스에서 사용되고 있는 방화벽의 정책과 유사한 기능이다. 하지만 네트워크 트래픽에 대해 허용만 가능하며 차단은 할 수 없다.

 

EC2 인스턴스 수준에 적용되기 때문에 적용되는 룰이며, 차단 기능을 적용하기 위해서는 VPC의 기능중 하나인 네트워크 ACL을 통해 서브넷 수준에서 네트워크의 흐름을 제어할 수 있다.

2) 생성 가능한 보안 그룹의 숫자와 규칙의 제한

하나의 VPC당 생성할 수 있는 보안 그룹의 개수는 기본 한도 500개다. 각 보안 그룹당 추가할 수 있는 규칙은 50개로 제한되고 네트워크 인터페이스당 5개의 보안 그룹을 적용할 수 있다. 필요할 경우 AWS Support를 통해 한도 증가 요청이 가능하다.

3) 네트워크 트래픽을 위한 차단 정책 불가

일반적인 방화벽에서는 네트워크 흐름을 제어하기 위한 정책으로 허용과 차단 정책이 존재하지만 보안 그룹에는 차단 정책이 없다. 차단 정책을 위해서는 VPC의 기능인 ACL기능을 적용해야한다.

4) 인바운드 트래픽과 아웃바운드 트래픽 제어

5) 초기 보안 그룹 설정의 인바운드 보안 규칙

처음 EC2를 생성하고 다른 EC2와 통신하기를 원할 경우, 해당 EC2와의 통신을 위한 인바운드 규칙을 추가하여야만 EC2간 통신이 가능하다.

---

[참고] 아마존 웹 서비스 AWS Discovery Book

[참고] AWS - Practice -  Practitioner EC2, EBS