Security Group과 Network ACL 비교

안녕하세요, BTC 베짱이 팀입니다.

이번 주는 'Security Group과 Network ACL 비교' 주제로 포스팅하겠습니다!

보안 그룹 (Security Group)

보안그룹이란 AWS 인스턴스들에 대한 접근을
제어하는 역할을 하는 가상 방화벽입니다.

보안그룹은 인스턴스들에 대한 인바운드 및 아웃바운드 규칙을 설정하여 여러 트래픽들을 제어할 수 있습니다.

인바운드 규칙은 인스턴스로 들어오는 트래픽, 아웃바운드 규칙은 인스턴스에서 나가는 트래픽을 제어합니다.

기본적으로 보안그룹의 인바운드 규칙은 모두 거부, 아웃바운드 규칙은 모두 허용입니다.

따라서, 허용할 대상의 인바운드 규칙을 설정해주면 됩니다.

NACL이란 AWS Subnet에 대한 접근을 제어하는 역할을 합니다.

NACL은 보안그룹보다 넓은 범위인 Subnet 단위에 적용되는 가상 방화벽입니다.

해당 Subnet에 존재하는 모든 자원에게 공통의 방화벽 규칙을 관리하고자 하는 경우에 유용합니다.

보안그룹 : 인스턴스 단위의 접근 제어
NACL : Subnet 단위의 접근 제어

보안그룹과 NACL은 둘 다 방화벽 역할을 수행한다는 공통점이 있어 헷갈릴 수 있습니다.

그러나, 적용되는 단위에 큰 차이점이 있습니다.

앞서 말씀드렸다시피 보안그룹은 인스턴스 단위, NACL은 Subnet 단위입니다.

(보안그룹보다 NACL이 더 넓은 범위라고 생각하시면 기억하기 쉬울 것 같습니다.)

또한, 보안그룹은 Stateful, NACL은 Stateless 방식이라는 차이가 있습니다.

Stateful 방식은 한번 들어온 IP나 포트 등의 트래픽을 기억해뒀다 나갈 때 바로 나갈 수 있습니다.

Stateless 방식은 들어온 트래픽을 기억해두지 않아 아웃바운드에 대한 명시적인 규칙 설정이 필요합니다.

마지막으로, 보안그룹은 허용 규칙만 설정이 가능하며, NACL은 허용 및 거부 규칙에 대한 설정이 가능합니다.

참고URL :
URL-1 / URL-2 / URL-3

다음 주에는 더욱 유익한 주제로 찾아뵙겠습니다.

긴 글 읽어주셔서 감사합니다 :)