웹사이트 검색

AWS에서 보안 그룹(SG) 및 네트워크 액세스 제어 목록(NACL)을 생성하는 방법

이 페이지에서

  1. 무엇을 할 것인가?\n
  2. AWS에 로그인
  3. 보안 그룹 만들기
  4. 네트워크 액세스 제어 목록 만들기
  5. 결론

보안 그룹(SG) 및 네트워크 액세스 제어 목록(NACL)은 Amazon Web Services(AWS)의 Virtual Private Cloud(VPC)와 함께 제공되는 기능입니다.

SG는 인스턴스가 인바운드 및 아웃바운드 트래픽을 제어하거나 제한하는 방화벽 역할을 합니다. VPC에서 인스턴스를 시작할 때 인스턴스에 최대 5개의 보안 그룹을 할당할 수 있습니다. 보안 그룹은 서브넷 수준이 아닌 인스턴스 수준에서 작동합니다. 시작 시 특정 그룹을 지정하지 않으면 인스턴스가 VPC의 기본 보안 그룹에 자동으로 할당됩니다.

인스턴스에 대한 인바운드 트래픽을 제어하는 SG의 규칙과 아웃바운드 트래픽을 제어하는 별도의 규칙 세트를 추가할 수 있습니다.

NACL은 하나 이상의 서브넷에서 들어오고 나가는 트래픽을 제어하기 위한 방화벽 역할을 하는 VPC의 선택적 보안 계층입니다. 서브넷에 추가 보안 계층을 추가하기 위해 SG와 유사한 규칙으로 NACL을 설정할 수 있습니다.

SG 및 NACL 생성을 계속 진행하기 전에 두 가지의 차이점을 살펴보겠습니다.

  1. SG는 인스턴스 수준에서 작동하지만 NACL은 서브넷 수준에서 작동합니다.\n
  2. SG는 허용 규칙만 지원하고 NACL은 허용 규칙 및 거부 규칙을 지원합니다.\n
  3. SG는 트래픽 허용 여부를 결정하기 전에 모든 규칙을 평가하고 NACL 규칙은 트래픽 허용 여부를 결정할 때 번호 순서대로 처리됩니다.\n
  4. SG는 누군가가 보안 그룹을 지정하는 경우에만 인스턴스에 적용되는 반면 NACL은 연결된 서브넷의 모든 인스턴스에 자동으로 적용됩니다.\n

이 기사에서는 SG 및 NACL을 생성하는 단계를 볼 것입니다.

전제 조건

  1. AWS 계정(계정이 없는 경우 생성).

우리는 무엇을 할 것입니까?

  1. AWS에 로그인합니다.\n
  2. 보안 그룹 생성
  3. 네트워크 액세스 제어 목록을 만듭니다.

AWS에 로그인

  1. AWS 로그인 페이지로 이동하려면 여기를 클릭하십시오.\n

위의 링크를 누르면 로그인 세부 정보를 사용하여 로그인해야 하는 다음과 같은 웹 페이지가 표시됩니다.

AWS에 성공적으로 로그인하면 다음과 같이 모든 서비스가 나열된 기본 콘솔이 표시됩니다.

보안 그룹 생성

SG를 생성하려면 상단 메뉴 바에서 "Service"를 클릭하고 "VPC"를 검색한 후 결과를 클릭합니다.

기본 VPC 대시보드에서 왼쪽 패널의 "보안 그룹"을 클릭하여 첫 번째 보안 그룹을 생성합니다.

"보안 그룹 생성\을 클릭하여 생성합니다.

목적을 이해하는 데 도움이 될 수 있는 설명과 함께 생성할 보안 그룹에 이름을 지정합니다.

Security 그룹이 생성되면 다음과 같은 화면을 볼 수 있습니다. 보안 그룹 ID 링크를 클릭하여 SG로 이동하고 인바운드 및 아웃바운드 규칙을 추가합니다.

여기에서 설명 옆 하단 메뉴에 있는 "인바운드 규칙"을 클릭하고 "규칙 편집"을 클릭하여 이 SG에 규칙을 추가합니다.

추가할 규칙 유형, 해당 포트/포트 범위를 선택할 수 있습니다. Source에서 "My IP", "Custom" 또는 "Anywhere"를 선택할 수 있으며 허용할 소스를 결정합니다. 추가된 규칙의 목적을 이해하는 데 도움이 되는 설명을 추가합니다. 원하는 규칙을 추가했으면 "규칙 저장"을 클릭합니다.

인바운드 규칙을 추가한 방식으로 아웃바운드 규칙도 추가할 수 있습니다.

네트워크 액세스 제어 목록 생성

NACL을 생성하려면 왼쪽 패널에서 "네트워크 ACL"을 클릭하십시오.

NACL에 이름을 지정하고 이 NACL을 적용할 VPC를 선택한 다음 만들기를 클릭합니다.

방금 만든 NACL을 선택하고 하단 메뉴에서 "인바운드 규칙"을 클릭합니다.

다른 규칙보다 우선 순위를 결정하는 규칙 번호를 추가합니다. 가장 낮은 숫자가 가장 높은 우선 순위를 갖습니다. 여기서 첫 번째 규칙은 거부로서 포트 22에 대한 우선순위 1을 가집니다. 즉, 두 번째 규칙에 우선 순위가 낮은 모든 항목에 대해 허용(0.0.0.0/0)이 있는 경우에도 이 두 번째 규칙은 첫 번째 규칙의 소스에 영향을 미치지 않으며 여전히 첫 번째 규칙의 소스를 거부합니다. 규칙과 규칙 번호를 추가하는 동안 매우 주의하십시오. 필요한 규칙을 모두 추가했으면 "만들기"를 클릭합니다.

동일한 단계에 따라 아웃바운드 규칙을 추가할 수 있습니다.

결론

이 기사에서는 SG 및 NACL을 생성하는 단계를 살펴보았습니다. SG 또는 NACL을 만드는 것은 매우 쉽지만 규칙을 특히 NACL에 추가하는 동안 매우 주의해야 합니다.