안녕하세요 서후아빠입니다. ^_^
이번 세션은 NACL과 SG에 대해서 생성 및 연결 과정을 실습해 보겠습니다.
일반적으로 NACL은 Black list 기반으로 차단을 설정하고, SG는 White list 기반으로 허용 설정을 합니다.
구성도
사전 작업
인프라 생성 : vpc, subnet, igw, routing table, ec2 등은 설명 생략합니다.
2022.07.02 - [Networking] - [실습] Amazon VPC 구성요소 생성하기
[실습] Amazon VPC 구성요소 생성하기
안녕하세요 서후아빠입니다. ^_^ 이번 세션은 VPC 관련 구성요소에 대해서 실습을 해보겠습니다. 구성도 1단계 : VPC 생성 VPC > Your VPCs > Create VPC 구분 VPC settings (VPC Only 방식) VPC settings (VPC a..
sh-t.tistory.com
NACL 생성 및 Subnet 연결
VPC > Network ACLs > Create network ACL > Name(vpcA-nacl), VPC(vpcA)
VPC > Network ACLs > vpcA-nacl 선택 > Actions > Edit subnet asociations > pubA-sn, priA-sn선택 > Save changes
| VPC 생성 시 자동으로 생성되는 NACL을 사용할 경우 이 과정은 생략해도 됩니다. NACL은 Subnet별로 생성해도 되고, 하나의 NACL에 여러 개의 Subnet 연결해도 됩니다. 이번 세션에서는 하나의 NACL에 2개의 Subnet을 연결하는 내용입니다. |
NACL 정책 설정
VPC > Network ACLs > vpcA-nacl 선택 > Inbound rules (tab) > Edit inbound rules
| Rule number(우선순위) | Type | Source | Allow / Deny |
| 90 | All traffic | 차단할 대역 | Deny |
VPC > Network ACLs > vpcA-nacl 선택 > Outbound rules (tab) > Edit inbound rules
| Rule number(우선순위) | Type | Destination | Allow / Deny |
| 90 | All traffic | 차단할 대역 | Deny |
| 정책 우선순위는 Rule number가 낮은수록 높습니다. 기본적으로 생성된 Rule number는 100으로 Any 허용입니다. 이 정책을 그대로 두고 차단을 걸고 싶으면 Any 허용된 Rule number보다 낮은 값(ex : 90)으로 정책을 생성하시면 됩니다. |
SG 생성 및 Instance 연결
VPC > Security groups > Create security group (or 기존 SG 선택하여 정책 수정)
| Security group name | VPC | Rule Type | Type | Port range | Source | Destination |
| webA-sg | vpcA | Inbound rules | HTTP | 80(Auto) | 0.0.0.0/0 | N/A |
| HTTPS | 443(Auto) | 0.0.0.0/0 | N/A | |||
| Outbound rules | All traffic | Auto | N/A | 0.0.0.0/0 | ||
| dbA-sg | vpcA | Inbound rules | MYSQL/Aurora | 3306(Auto) | webA-sg | N/A |
EC2 > Instances > webA-ecr or dbA-ec2 선택 > Actions > Security > Change security groups > Add security group or Remove > Save
| VPC 생성 시 자동으로 생성되는 SG를 사용할 경우, 해당 SG를 선택하여 정책 수정하시면 됩니다. Instance별로 SG 생성해도 되고, 하나의 Instance에 여러 개의 SG 연결해도 됩니다. Port range는 Type이 Custom일 경우만 입력 가능합니다. dbA-sg에서 Source를 webA-sg로 지정을 하면 wegA-sg를 적용받는 Instnace만 허용한다는 의미입니다. dbA-sg 경우처럼 Outbound rules 지정을 하지 않으면 dbA는 Inbound 요청만 가능합니다. |
AWS user guide
Network ACLs : https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/vpc-network-acls.html
Security groups : https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/VPC_SecurityGroups.html
'Security' 카테고리의 다른 글
| [실습] AWS IAM User에게 권한 부여, MFA 활성화 실습하기 (0) | 2022.07.22 |
|---|---|
| [이론] AWS IAM(Identity and Access Management) 기본 개념 (0) | 2022.07.22 |
| [이론] Amazon Network ACLs (NACL) 및 Security groups (SG, 보안그룹) 기본 개념 (0) | 2022.07.21 |
| [Tip] AWS 관리 콘솔에서 EC2 접속을 차단하는 방법에 대해서 알아보기 (0) | 2022.07.09 |
| [Tip] AWS 관리 콘솔에 접근제한(소스 IP) 설정하는 방법 알아보기 (0) | 2022.07.09 |
