보안 그룹(Security Group)이란?

인스턴스 생성할 때 같이 보안그룹을 설정했었다. 자세히 알아보자

 

보안그룹이란?

---

• EC2 인스턴스에 대한 인바운드, 아웃바운드 트래픽을 제어하는 가상 방화벽 역할
• EC2 인스턴스의 ENI와 연결 됨
• 보안 그룹은 허용 규칙만 지정 가능하고 거부 규칙은 지정할 수 없음 (허용이 아니면 모두다 거부)
• 보안 그룹은 연결 상태를 추적하는 상태저장 방화벽 (Stateful Firewall)

 

인바운드 트래픽

• 외부에서 EC2 인스턴스로 들어오는 트래픽

아웃바운드 트래픽

• EC2인스턴스에서 외부로 나가는 트래픽

제어 규칙

• 트래픽 유형 (SSH, HTTP, RDP, MySQL ....)
• 프로토콜 (TCP, UDP ...)
• 포트 범위 (SSH 22, HTTP 80, HTTPS 443, MySQL 3306 ...)
  • 리눅스는 SSH 22, 외부는 HTTP 80, 보안은 HTTPS 443, MySQL은 3306 전문 포트...
• 소스 (모두, 개별, 본인만, 특정 IP만, IP 대역, 보안그룹...)

 

 

Security Group (보안 그룹) - Stateful (상태 저장)이란?

---

• 아웃바운드 규칙에 상관없이, 허용된 인바운드 트래픽에 대한 반응으로 외부로 나가는 흐름을 수행
• Client가 EC2 인스턴스 WEB으로 접근할 경우 인바운드에서만 허용 규칙이 생기면 아웃바운드에 따로 허용규칙을 만들지 않아도 리턴 트래픽을 보낼 수 있다.

 

• 사용자가 인스턴스에서 요청을 전송하면 해당 요청의 응답 트래픽은 인바운드 보안 그룹 규칙에 관계없이 인바운드 흐름이 허용된다.
• EC2에서 클라이언트(구글)등에 접속할 경우를 예시를 보자

 

이것들이 상태저장의 특징들이다.

 

 

콘솔창에서 직접 확인해보자

---

EC2의 IPv4 주소를 http창에 검색해보면 창이 잘 뜬다.

이 이유는 http 포트를 허용했기 때문이다.

 

또한 Instance Connect또한 연결이 바로된다. 

이 이유는 ssh 포트를 허용했기 때문이다.

 

보안 그룹이 방화벽처럼 필터 역할을 진행한다.

클릭해서 확인해보면

 

• 이렇게 2개가 인바운드 규칙으로 되어있다.
• 따라서 접속이 가능한 것이다. ( 소스가 0.0.0.0인경우 모두 접속 가능)
• HTTP 인바운드 규칙을 삭제하고 다시 IPv4로 접속하면 http에서 접속이 불가능해진다.
• 하지만 아웃바운드 규칙을 삭제하면 이어서 접속이 가능한다.
  • (상태저장 특징에 의해) 인바운드가 허용시 아웃바운드는 상관안쓴다.)