EC2 보안 그룹 인바운드 아웃바운드 3단계 설정 방법

『 '데이널'의 컨텐츠에 포함된 정보는? 』

 

만약 여러분이 강원도에 별장을 하나 샀다고 상상해 볼까요. 어떤 것부터 하시겠어요? 나는 무조건 낯선 사람이 들어오지 못하게 자물쇠나 경비시스템부터 갖출 거예요. 이 경비시스템이 AWS 클라우드에서는 보안 그룹(Security Group)입니다.
 

Security Group(보안 그룹)

보안 그룹(Security Group)이란?

흔히들 보안그룹을 방화벽이라고 하죠. 거의 방화벽의 개념과 일치합니다. 미리 정의된 보안 규칙에 따라 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어한다는 점에서 그렀습니다. 내 별장에 들어오거나 나갈 수 있는 결정하는 문지기에 비유할 수 있는데요.
 

1. 인바운드 규칙

인바운드 규칙은 보안그룹 안으로 들어가는 트래픽을 정의합니다. 문지기가 내 별장에 들어오는 사람들을 검사하는 것과 같죠. 누가, 어떻게 입장할 수 있는지를 정하게 됩니다. 실제로는 허용되는 프로토콜, 포트 및 소스 IP 범위를 지정하는 방식 있습니다.

2. 아웃바운드 규칙

아웃바운드 규칙은 보안그룹 밖으로 나갈 수 있는 트래픽을 제어합니다. 문지기가 내 별장을 떠날 수 있는 사람을 정해줍니다. 떠날 수 있는 사람과 그 방법을 미리 정하는거죠. 인바운드 규칙과 유사하게 프로토콜, 포트 및 대상 IP 범위를 지정할 수 있습니다.
 

보안 그룹을 설정하는 방법

보안 그룹을 생성할 때 애플리케이션의 특정 요구 사항에 따라 규칙을 정의해야 합니다. 보안그룹은 유형, 프로토콜, 포트, 소스에 대해 설정할 수 있습니다. 아래는 웹 서버에 대한 보안 그룹을 설정하는 방법입니다
 

• 유형 : 어떤 접속 방식 유형인지
• 프로토콜 : 허용할 Protocol
• 포트 범위 : 허용할 Port 범위
• 소스 : 허용할 IP 주소, 범위 또는 다른 Security Group

 

1. 보안 그룹 생성

• AWS Management Console에서 EC2 대시보드로 이동
• "네트워크 및 보안" 섹션에서 "보안 그룹"을 선택
• “보안 그룹 생성”을 클릭하고 이름과 설명을 입력

2. 인바운드 규칙 구성

• HTTP 트래픽 허용: 어디에서나(0.0.0.0/0) 포트 80의 인바운드 HTTP 트래픽을 허용하는 규칙을 추가
• SSH 트래픽 허용: 포트 22에서 인바운드 SSH 트래픽을 허용하는 규칙을 추가하지만 보안 관리를 위해 특정 IP 주소로 제한

3. 아웃바운드 규칙 구성

• 기본적으로 보안 그룹은 모든 아웃바운드 트래픽을 허용
• 이를 통해 인스턴스는 필요에 따라 다른 서비스 및 인터넷과 통신할 수 있음

AWS 보안 그룹 설정

 

보안 그룹의 특성 및 고려사항

• 향상된 보안 : 보안 그룹은 1차 방어선 역할을 하여 무단 액세스를 차단하고 악성 트래픽으로부터 인스턴스를 보호합니다.
• 손쉬운 관리 : 보안 그룹은 구성 및 관리가 쉽습니다. 변화하는 보안 요구 사항에 맞춰 언제든지 규칙을 수정할 수 있습니다.
• 상태 저장 특성 : 보안 그룹은 상태 저장입니다. 즉, 인바운드 요청이 허용되면 아웃바운드 응답도 자동으로 허용됩니다. 이는 양방향 트래픽 관리를 단순화합니다.
• 최소 권한의 원칙 : 필요한 포트만 열고 액세스를 필요한 최소 IP 범위로 제한하여 공격 표면을 줄입니다.
• 설명적인 이름 및 태그 사용 : 목적을 반영하도록 보안 그룹의 이름을 명확하게 지정하고 태그를 지정하여 관리 및 감사를 더 쉽게 만듭니다.

 

마치며

클리우드에서 보안 그룹은 필수 구성입니다. AWS를 배우면 가장 먼저 배우게 되는 부분이라고 해도 과언이 압니다. 그 정도로 보안 그룹을 신중하게 구성하고 관리해야 합니다. 그렇지 않으면 EC2 인스턴스를 무단 액세스하는 해킹을 당하기도 합니다. 실제로 일시적으로 any로 오픈했더니 해커들의 먹잇감이 되기도 했습니다. 여러분은 보안 그룹 개념을 알았으니, 저 같은 실수는 하지 않으시겠죠?