방화벽의 접근 제어 방식
1) 화이트 리스트(Whitelist)
2) 블랙 리스트(Blacklist)
1. 화이트 리스트
- 모든 트래픽을 기본 차단한 상태에서 접속이 필요한(화이트) 트래픽만 선별적으로 허용하는 방식
2. 블랙 리스트
- 모든 트래픽을 허용 해놓고 거부할(블랙) 트래픽만 선별해 차단하는 방식
보안 그룹
- 상태 저장(stateful) 방식으로, 클라이언트의 IP와 포트를 저장하므로 인바운드 허용하면 아웃바운드는 따로 설정할 필요가 없다.
NACL
- 상태 비저장(stateless) 방식으로, 클라이언트의 정보가 없어 인바운드 및 아웃바운드 규칙에 모두 허용해 둬야 한다.
NACL을 화이트 리스트로 사용하면 다음과 같은 문제가 발생한다.
1) 인바운드 규칙에 허용된 IP를 아웃바운드 규칙에도 적용해야 한다.
2) 이때 클라이언트의 동적 포트를 허용해야 한다.
3) 보안그룹에 신규 허용 규칙을 등록할 때마다 NACL도 함께 등록해야 한다.
| 보안그룹 | NACL | |
| 연결(통제) 대상 | ENI | 서브넷 |
| 다중 연결성 | 1:N, N:1 | 1:N (서브넷 1) |
| 접근 제어 방식 | 화이트 리스트 | 블랙 리스트 |
| 허용/거부 | 허용 | 허용 or 거부 |
| 상태 저장 | 저장(Stateful) | 비저장(Stateless) |
| 소스/대상 허용 (클라이언트의 IP 보기 가능) | O | X |
NACL을 화이트 리스트로 쓰면
GuardDuty에서 탐지되는 수백 개의 이벤트를 하나씩 확인해서 NACL에 입력해야하는 성가신 일이 아닐 수 없다.
'AWS > Service' 카테고리의 다른 글
| 온프레미스와 연결(TGW or VGW ↔ DX) (0) | 2023.10.22 |
|---|---|
| 로드밸런서(ELB) (1) | 2023.10.22 |
| RDS (0) | 2023.10.22 |
| 인스턴스 유형 (0) | 2023.10.22 |
| 할당량(Quotas) (0) | 2023.10.21 |