[AWS SAA] VPC 보안 및 연결

Amazon Virtual Private Cloud (VPC)
보안 및 연결 기능

Amazon VPC는 강력한 보안 및 연결 기능을 제공하여

AWS 리소스를 보호하고, 다른 네트워크와 연결합니다.

 

Security Group

• 인스턴스 수준에서 작동하는 VPC 내의 가상 방화벽
• 모든 인바운드 트래픽을 기본적으로 거부하고, 모든 아웃바운드 트래픽을 허용
• 인스턴스당 최대 5개의 보안그룹을 설정할 수 있음.
• 보안그룹은 'Stateful'로서 인바운드와 아웃바운드 트래픽에 별도의 규칙을 지정할 수 있음.
• Source IP, Protocol, Port 등을 설정할 수 있으며, 설정 변경 시 즉시 적용됨.

 

Network ACL

• 서브넷 수준에서 작동하는 가상 방화벽임.
• 서브넷 내부와 외부의 트래픽을 제어함.
• 기본적으로 모든 인바운드와 아웃바운드 트래픽을 허용함.
• Network ACL은 'Stateless'로서 인바운드와 아웃바운드 규칙이 서로 영향을 줌.
• 허용 및 거부 규칙을 설정할 수 있으며, 우선순위에 따라 적용됨.

 

Security Group vs Network ACL

• 같은 서브넷끼리 통신 : Security Group 정책을 거치면서 통신
  
  
• 다른 서브넷끼리 통신 : NACL의 정책을 먼저 거친 후
  Security Group의 정책을 거치면서 통신
  
  
• 1차적 보안은 Security Group
  2차 보안까지 하고자 한다면 NACL 까지 설정

• Security Group은 허용 규칙만 가능,
  Network ACL은 허용 및 거부 규칙 모두 가능함.
  
  
• Network ACL은 우선순위에 따라 규칙이 적용되지만,
  Security Group은 규칙 리스트에 있는 것 중 적용됨.

• Security Group은 인스턴스 수준의 'Stateful' 방화벽,
  Network ACL은 서브넷 수준의 'Stateless' 방화벽임.

SG : 인스턴스 기준 적용 (1차 보안 계층)
NACL : 서브넷 기준 적용 (2차 보안 계층)

 

VPC Peering

• 두 VPC 간 트래픽을 전송하기 위한 기능임.
• Source VPC와 다른 리전의 VPC를 연결하여 Peering 요청 후 수락 시 통신 가능함.
• Peering 생성 후 라우팅 테이블에 해당 Peering을 추가하여 통신 시작함.

 

Transit Gateway

• On-Premise와 VPC를 연결하는 데 사용되는 Gateway임.
• Direct Connect와 Site-to-Site VPN을 통해 VPC를 연결함.
• Virtual Private Gateway는 한 개의 VPC만 연결 가능하지만,
  Transit Gateway는 다수의 VPC를 연결할 수 있음.

 

VPC Endpoint

• VPC 내 리소스와 비 VPC 서비스 간의 연결을 위한 방법임.
• 외부 인터넷을 거치지 않고 AWS 내부 네트워크를 통해 연결함.
• Interface Endpoint와 Gateway Endpoint 두 종류가 존재함.

 

Site-to-Site VPN

• AWS의 IPSec VPN 서비스임.
• AWS와 On-Premise 간의 VPN 연결을 가능케 함.
• Customer Gateway와 AWS 측 게이트웨이(Transit Gateway
  또는 Virtual Private Gateway)를 통해 터널을 생성하여 사용함.

 

Direct Connect

• AWS의 전용선 서비스임.
• 이더넷 광섬유 케이블을 이용하여 내부 네트워크와 AWS VPC를 직접 연결함.
• VPN보다 더 안전하고 빠른 속도를 제공함.

 

---

출처 : Udemy_AWS Solutions Architect C03 강의

hwanyoung12

https://aws-hyoh.tistory.com/223

https://nice-engineer.tistory.com/entry/AWS-NACL%EA%B3%BC-Security-Group%EC%9D%98-%EC%B0%A8%EC%9D%B4