51 lines
2.0 KiB
Markdown
51 lines
2.0 KiB
Markdown
---
|
|
id: 보안 그룹(Security Group) 20260305
|
|
created: 2026-03-05 10:54
|
|
tags:
|
|
---
|
|
## 💡 생각
|
|
방화벽이 허용(비허용)하는 범위를 그룹핑했다는 의미로 보안그룹이라고 이름붙인 것 같음.
|
|
방화벽을 유연하고 쉽게 적용할 수 있도록 해놓은 형태
|
|
하나 이상의 보안그룹을 동시에 설정 가능함. (합집합 형태로 적용됨)
|
|
|
|
> [!example]
|
|
> 보안그룹1: A,B 허용
|
|
> 보안그룹2: B,C,D 허용
|
|
> 보안그룹 1,2 모두 지정하면 A,B,C,D 모두 허용됨
|
|
|
|
---
|
|
## 📑 개념
|
|
**"인스턴스(가상 서버)를 감싸고 있는 가상 방화벽"**입니다.**
|
|
|
|
## 📌 상세
|
|
### 1. 허용(Allow) 규칙만 설정 가능
|
|
|
|
보안 그룹에는 "이 IP는 차단해!"라는 거부(Deny) 규칙을 만들 수 없습니다. 기본적으로 모든 통로를 막아두고, **"이 포트와 이 IP만 들어오게 해줘"**라는 허용 규칙만 추가하는 방식(화이트리스트)입니다.
|
|
|
|
### 2. 상태 저장(Stateful) 방식
|
|
|
|
가장 똑똑한 기능 중 하나입니다.
|
|
|
|
- **인바운드(Inbound):** 밖에서 안으로 들어오는 요청이 허용되었다면,
|
|
|
|
- **아웃바운드(Outbound):** 안에서 나가는 응답은 별도의 설정 없이도 **자동으로 허용**됩니다. (반대도 마찬가지입니다.)
|
|
|
|
|
|
### 3. 인스턴스 단위의 보안
|
|
|
|
네트워크 전체(서브넷)를 막는 ACL(Network ACL)과 달리, 보안 그룹은 **개별 인스턴스 단위**로 적용됩니다. 예를 들어, 웹 서버용 보안 그룹과 DB 서버용 보안 그룹을 따로 만들어 각각 채워줄 수 있습니다.
|
|
|
|
### 4. 언제든지 변경 가능
|
|
|
|
규칙을 수정하면 해당 보안 그룹을 사용하는 모든 인스턴스에 **즉시 적용**됩니다. 서버를 껐다 켤 필요가 없습니다.
|
|
|
|
## 📝 노트
|
|
> [!note]
|
|
>
|
|
> - 관련 사례나 반대되는 개념이 있다면 여기에 기록하세요.
|
|
>
|
|
> - 본인의 언어로 풀어서 쓰는 것이 제텔카스텔의 핵심입니다.
|
|
>
|
|
|
|
---
|