Security Group
기술노트
Security Group
비유로 쉽게 이해하기
Security Group은 **'아파트 각 세대 현관문의 디지털 도어락'**과 같습니다. 이 도어락에는 '아는 사람(허용된 IP 주소)에게만', '특정한 용무(허용된 포트)로만' 문을 열어주도록 규칙을 설정할 수 있습니다. 예를 들어, '가족(내 IP)에게는 현관문(모든 포트)을 열어주고', '택배기사(특정 IP)에게는 22번 초인종(SSH 포트)을 눌렀을 때만 열어준다'고 설정하는 것입니다.
개요
Security Group(보안 그룹)은 EC2 인스턴스와 같은 AWS 리소스에 대한 인바운드(들어오는) 및 아웃바운드(나가는) 트래픽을 제어하는 가상 방화벽 역할을 합니다.
상세 설명
보안 그룹은 기본적으로 '모든 인바운드 트래픽은 거부하고, 모든 아웃바운드 트래픽은 허용'하는 정책을 가집니다. 따라서 필요한 트래픽만 들어올 수 있도록 허용(Allow) 규칙을 명시적으로 추가해야 합니다. 예를 들어, 웹 서버 역할을 하는 EC2 인스턴스에는 웹 트래픽(HTTP/HTTPS, 포트 80/443)이 어디서든 들어올 수 있도록 허용 규칙을 추가해야 합니다.
중요한 특징은 상태 저장(Stateful)이라는 점입니다. 인바운드 규칙에 의해 허용된 요청에 대한 응답 트래픽은, 별도의 아웃바운드 규칙이 없어도 자동으로 허용됩니다. 즉, 내가 문을 열어준 손님은 나갈 때 자동으로 문이 열리는 것과 같습니다.
왜 중요할까요?
- 인스턴스 수준 보안: 각 EC2 인스턴스에 대한 접근 제어의 첫 번째 방어선 역할을 합니다.
- 세분화된 제어: 특정 IP 주소, IP 주소 범위, 또는 다른 보안 그룹으로부터의 트래픽만 허용하는 등 세밀한 규칙 설정이 가능합니다.
주요 특징
- 인스턴스 레벨 방화벽: 개별 EC2 인스턴스에 적용됩니다.
- 상태 저장(Stateful): 인바운드 요청에 대한 응답 트래픽은 자동으로 허용됩니다.
- 허용 규칙만 지원: 거부(Deny) 규칙은 설정할 수 없으며, 규칙 목록에 없는 모든 트래픽은 기본적으로 거부됩니다.
- 실시간 규칙 적용: 규칙을 변경하면 거의 즉시 적용됩니다.
