AWS 보안그룹이란?

오늘은 AWS 보안그룹(Security Group)에 대한 이론을 알아보고 실습도 함께 진행을
해 볼 것이다. 일단 먼저 보안그룹(Security Group)이 무엇인지부터 같이 한번 알아보자!

보안그룹( Security Group )이란?

 

 

보안그룹( Security Group ): 간단하게 줄여서 표현하면 EC2 인스턴스의 가상 방화벽 정도라고 생각하면 된다. 가상 방화벽은 인바운드 규칙과 아웃바운드 규칙을 설정하여 여러 가지 트래픽을 제어 할 수 있다. VPC에서 EC2 인스턴스에 최대 5개까지의 보안그룹( Security Group )을 할당할수 있다는 단점이 있다.

 

이제 보안그룹( Security Group )이 간략적으로 무엇인지 알아 보았으니 이번에는 보안그룹( Security Group )의 기본사항을 한 번 알아보자!



보안그룹( Security Group )의 기본사항

1. 허용할 규칙만 지정할 수 있다. ( 보안그룹( Security Group )의 같은 경우 모든 인바운드 트래픽이 처음부터 전부 차단되어 있기 때문에 허용할 규칙만 설정하면 된다! )

2. 인바운드나 아웃바운드 트래픽에 규칙을 지정할 수 있다. (ex: 80번 포트는 모든 트래픽을 허용하지 않고 내 IP주소로 들어오는 것만 허용한다. )

3. 포트번호와 트래픽으로 필터링을 할 수 있다.

4. 통신에 필요한 트래픽을 허용하지 않을 경우 인스턴스간 서로 통신을 할 수 없다.

5. 보안그룹은 인터넷게이트웨이( IGW )와 연결된다. HTTP나 HTTPS 트래픽을 허용하게 되면 web서버를 간단하게 구축할 수 있다.

6. 이름이나 설명을 필수적으로 입력해야 하며 255자로 제한 되어 있다. 보안그룹에 Name 태그를 달면 보안그룹을 쉽게 구분할 수 있다.

7. 보안그룹은 맨 처음에 VPC가 생성한 기본 보안그룹이 자동으로 주어진다.

 

8. 인스턴스를 시작하였을 때 보안그룹을 따로 지정하지 않았다면 기본 보안그룹이 인스턴스에 연결된다.

 

인스턴스 용도에 따라 쓰이는 보안그룹 프로토콜


web server의 경우

인바운드 규칙은 80번과 443포트를 허용한다. ( 80 = HTTP, 443 = HTTPS)
아웃바운드 규칙도 마찬가지로 80번과 443포트를 허용해야 한다.( 아웃바운드 규칙의 경우 80번이나 443포트를 허용하지 않을 경우 curl가 안되는 문제가 발생할 뿐만 아니라, Session Manager을 접근하지 못하는 문제가 발생하기 때문이다. )


application load balancer 의 경우

인바운드 규칙은 80번을 허용한다. ( HTTP )
아웃바운드는 웹서버와 주로 연결하는데 80번 포트와 443포트로 웹 서버와 연결해야 한다.

 

mysql 의 경우 ( 외부와 통신하지 않을 때 )

기본 포트가 3306이기 때문에 인바운드 규칙은 3306포트를 허용한다.( 기본 포트를 다른 번호로 바꾸면 바꾼번호로 허용을 해야 한다. )
mysql이 외부와 통신을 차단해야 되기 때문에 아웃바운드는 허용하지 않는다.

 

보안그룹 실습( 간단하게 alb전용 web전용, mysql전용 보안그룹을 생성하여 서로 연결을 해 줄 것이다. ) 실습은 https://console.aws.amazon.com/ 여기서 진행을 하였다

실습 동영상