Network ACL (Access Control List)

• 개체나 개체 속성에 적용되어 있는 (요청자의) 권한 허용 목록

  ex) 버킷에 대한 모든 퍼블릭 액세스 차단시

  → ACL에서 퍼블릭에 대한 권한 설정해도 버킷에 접근 되지 않음

• 라우터를 통과하는 패킷을 필터링하고 제어

  일종의 라우터 방화벽

• 디폴트로 인/아웃바운드 차단

• 종류

  1. standard ACL

     • L3 헤더(IP 헤더)의 Source Address를 조건으로 패킷을 Deny할건지 Permit 할건지 결정

       → 어디서 왔는지만 확인 후 결정

  2. extended ACL

     • Source/Destination Address, Protocol, TTL 등의 정보와 L4 헤더(TCP, UDP)의 Source/Destination Port, TCP Flag 등의 정보를 기반으로 패킷 분류 후 정책 정의

       (패킷을 Deny할건지 Permit 할건지 결정)

• 04.18(월) 클라우드 AWS 보안 웨비나

  아는거 나와서 신난 제제

  

Security Group

• 보안 그룹은 인스턴스에 대한 인/아웃바운드 트래픽을 제어하는 인스턴스 가상 방화벽 역할
  • 인바운드 규칙(외부 → 인스턴스)과 아웃바운드 규칙(인스턴스 → 외부)으로 나뉘며 모든 트래픽은 규칙에 따라 제어됨
  • 한 번 인/아웃바운드 통과되는 트랙픽의 상태를 저장하여 아웃/인바운드 규칙 적용을 받지 않음**(Stateful)**
• VPC에서 인스턴스 시작시 최대 5개의 보안 그룹에 인스턴스 할당 가능
• 서브넷 수준이 아닌 인스턴스 수준에 적용되므로 VPC에 있는 서브넷의 각 인스턴스를 서로 다른 보안 그룹 세트에 할당 가능

→ EC2뿐만 아니라 VPC 내에 탑재될 수 있는 수많은 가상 컴퓨터(RDS, ELB, VPC Endpoint 등)에 적용

⇒ VPC 내에서 ENI(Elastic Network Interface)를 갖는 모든 서비스에 적용

• 시큐리티 그룹은 인스턴스 ENI에 적용된 것이기 때문