Cloud Computing - #10 클라우드 보안 기술 실습 1 [ AWS 활용 네트워크 접근 제어, 보안 그룹 설계 ]

1. NACL (Network Access Control Lists) / 네트워크 정책

VPC 서브넷 수준 보안 계층

서브넷에서 송수신되는 트래픽을 제어하는 일종의 방화벽

Default NACL 기본 정책 - 인바운드, 아웃바운드 모두 허용

 

[실습]

VPC 생성

라우팅 테이블 생성

인터넷 게이트 웨이 생성

Red Hat 실행

 

인바운드, 아웃바운드 규칙 편집 - 번호로 우선순위 결정

각 규칙은 트래픽을 허용 or 거부 가능

protocol, port, IP 편집

 

기본(default) NACL 

서브넷 단위로 적용되며, 모든 인바운드 및 아웃바운드 트래픽 허용

 

 

하나의 NACL에 여러 서브넷 연결 가능

정책을 여러 서브넷에 연결 가능

 

 

하나의 서브넷에 여러 NACL 연결 불가능

하나 연결 시 다른 하나 자동으로 연결 해제

히나의 서브넷에는 하나의 NACL만 연결 가능

 

사용자 NACL 생성 및 편집 

 사용자 NACL 생성 시, 모든 트래픽 거부로 설정

 사용자 NACL 편집 시, 규칙번호 입력 -> 우선순위 결정

  규칙번호가 낮을수록 우선 순위 높음

 

2. 보안 그룹(Security Groups) / 네트워크 단위 x, 가상머신 단위 o

인스턴스 수준 보안 계층

서브넷 내의 인스턴스 별로 다른 보안 그룹 할당 가능

 

기본 보안그룹

모든 인바운드 트래픽 거부

모든 아웃바운드 트래픽 (항상)허용

사용자 보안그룹 생성 및 편집

허용할 규칙 추가 -> 우선순위 없음

 

3. NACL vs 보안 그룹

속성	NACL	보안그룹
적용수준	서브넷(네트워크)	인스턴스(가상머신)
지원되는 규칙	허용,거부 규칙	허용 규칙
규칙 순서	규칙 번호 낮을수록 ,우선순위 높음	모든 규칙이 동일한 순서