Sercurity Group은 EC2 인스턴스에 적용할 수 있는 방화벽 설정입니다.
서버 보안의 기본은 방화벽 설정에서 출발합니다.
예로, Linux 서버의 SSH 접속 포트인 22번만 여는 것은 기본이고,
여기에 접속 가능한 IP 대역까지 설정하면 공격 위협이 상당수 줄어듭니다.
방화벽 설정의 기본요소는 다음과 같습니다.
- Inbound : 외부에서 EC2 인스턴스로 들어오는 트래픽입니다. 대표적인 것들로느
HTTS, HTTPS, SSH, RDP 등이 있습니다. - Outbound : EC2 인스턴스에서 외부로 나가는 트래픽입니다. EC2 인스턴스 안에서 인터넷을 사용할 경우 Outbound라 할 수 있습니다. 파일을 다운로드하거나 외부 SSH로 접속 등이 있습니다.
- Type : 프로토콜 형태입니다.크게 TCP, UDP, ICMP로 나눌 수 있습니다.
- Port, Port Range : 포트 번호입니다. TCP, UDP 프로토콜은 0~65535 사이의 포트 번호를 사용합니다. (ICMP은 포트 번호를 사용하지 않습니다.)
- Source/Desination : 연결 혹은 접속 가능한 IP 대역을 뜻합니다. Inbound 일 경우 Source,
Outbound 일 경우 Destination 이라 부릅니다. IP 주소 하나만 지정할 수도 있고 CIDR 표기 방법을 이용하여 일정한 대역을 설정 할 수 있습니다. - Rule : 지금까지 설명한 Inbound, outbound, Type, Port, Source/Destination 을 조합한 것을
Rule(규칙) 이라고 합니다.
Group name 이 default인 것은 기본적으로 제공되는 보안 그룹이며,
인바운드는 동일한 보안 그룹인 default에만 허용되어 있고, 아웃바운드는 모든 접속이 허용되어 있습니다.
- Type : HTTP를 선택하면 자동으로 Protocol은 TCP, Port Range는 80으로 설정된다.
- Source : 기본값 그대로 Anywhere를 사용한다. Coustom IP를 선택하면 IP 주소 대역을 설정
할 수 있고, MY IP를 선택하면 현재 내가 사용하는 공인 IP로 자동으로 설정한다.
💡 **CIDR 표기법**
💡 **방화벽 설정은 항상 체크**
EC2 인스턴스를 생성하고 열심히 여러 가지 서버들을 설치했는데 외부에서 접속이 되지 않을 때가 많습니다.
이럴 때에는 먼저 Security Group 설정을 확인합니다.
설치된 서버들이 사용하는 포트가 Inbound 설정에서 열려 있는지, 포트 번호가 잘못 설정되지는 않았는지,
프로토콜이 잘못 설정되지는 않았는지, Inbound 설정을 Outbound에다가 하지는 않았는지 살펴봅니다.
'DevOps > Cloud_클라우드' 카테고리의 다른 글
| [AWS] EC2 인스턴스 접속을 위한 키 쌍 (0) | 2023.05.22 |
|---|---|
| [AWS] 고정 IP를 제공하는 Elastic IP (0) | 2023.05.15 |
| [AWS] EBS 스냅샷 활용하기 (2) | 2023.05.09 |
| [AWS] 가상 스토리지를 제공하는 EBS (0) | 2023.03.10 |
| [AWS] 기본 개념 (리전, 지역 / 가용 영역 / 엣지 로케이션) (0) | 2023.02.07 |
