Security Groups
보안그룹
- AWS 에서 네트워크 보안의 핵심이다.
- EC2 인스턴스에 들어오고 나가 트래픽을 제어한다.
- 오직 허용 규칙만 포함한다.
- 출입이 허용된 것이 무엇인지 확인 가능
- IP주소를 참조해 규칙을 만들 수 있다.
- 보안 그룹끼리 서로 참조 가능하다.
Deep Dive
- 보안그룹은 EC2 인스턴스의 방화벽이다.
- 포트로 액세스를 통제한다.
- 인증된 IP 주소의 범위를 확인해 IPv4 인지 IPv6 인지 확인한다.
- 인바운드 네트워크를 통제한다. (외부 => 인스턴스)
- 아웃바운드 네트워크도 통제한다. (인스턴스 => 외부)
보안그룹 Good to know
- 여러 인스턴스에 연결 가능
- 보안 그룹과 인스턴스 간의 일대일 관계는 없다는 것
- 사실 인스턴스에도 여러 보안그룹을 연결 할 수 있다.
- region / VPC 로 결합되어 있다.
- 지역을 전환하면 새 보안 그룹을 생성해야 된다.
- 다른 VPC 생성해야 된다.
- 보안그룹은 EC2 외부에 있다.
- 트래픽이 차단되면 EC2 인스턴스는 확인 할 수 없다.
- EC2 에서 실행하는 애플리케이션이 아니라, EC2 외부의 방화벽이다.
- SSH 액세스를 위해 하나의 별도 보안 그룹을 유지하는 것이 좋다.
- 타임아웃으로 애플리케이션에 접근할 수 없으면, 보안 그룹의 문제일 가능성이 있다.
- 어떤 포트에 접근할때, 컴퓨터가 계속 멈추고 대기하기만 한다면 보안그룹 문제일 수도 있다.
- but, 연결 거부 응답을 받으면 보안그룹은 통과했지만, 트래픽은 통과했지만, 애플리케이션에 문제가 생겼거 실행되지 않는 문제가 발생한 것일 수 있다.
- 기본적으로
인바운드는 차단 되어 있다. - 기본적으로
아웃바운드는 허용 되어 있다.
Classic Ports to know
기본적으로 알아야 할 포트 정리
22 - SSH (Secure Shell) - log into a Linux instance21 - FTP (File Transfer protocol) - upload files into a file share22 - SFTP (Secure File Transfer Protocol) – upload files using SSH80 - HTTP – access unsecured websites443 - HTTPS – access secured websites3389 - RDP (Remote Desktop Protocol) – log into a Windows instance
3306 - mysql6679 - redis5432 - postgreSQL9418 - git
'Architecture > AWS' 카테고리의 다른 글
| [AWS] EC2 (1) size, config, user data, types (0) | 2022.05.10 |
|---|---|
| [AWS] IAM (1) user, group, permission, alias (0) | 2022.05.07 |
댓글