보안 설정

페이지 이동경로

보안 설정

시큐리티 그룹을 사용해 네트워크에 배포된 인스턴스의 보안을 강화할 수 있습니다. 시큐리티 그룹은 IP 주소와 포트 번호를 기반으로 인스턴스로 전송된 패킷을 필터링합니다.

시큐리티 그룹

시큐리티 그룹은 인바운드 정책과 아웃바운드 정책을 토대로 연결된 인스턴스의 트래픽을 필터링합니다.

시큐리티 그룹 작동 방식

화이트리스트 기반

시큐리티 그룹은 입력된 정책에 대해서만 트래픽을 허용하는 화이트리스트(Whitelist) 방식으로 작동합니다.

상태 관리

시큐리티 그룹은 상태 관리 기능(Stateful)이 제공됩니다.

  • 인바운드 정책에 의해 허용된 요청에 대해서는 아웃바운드 정책에 관계없이 응답이 허용됩니다.
  • 아웃바운드 정책에 의해 허용된 요청에 대해서는 인바운드 정책에 관계없이 응답이 허용됩니다.

다중 인스턴스 연결 지원

한 개의 시큐리티 그룹을 다수의 인스턴스에 적용할 수 있습니다.

다중 시큐리티 그룹 연결 지원

한 개의 인스턴스에 다수의 시큐리티 그룹을 적용할 수 있습니다. 다수의 시큐리티 그룹이 연결된 시큐리티 그룹은 연결된 모든 시큐리티 그룹의 정책을 허용합니다.

시큐리티 그룹 복사 기능 지원

동일한 인바운드 정책과 아웃바운드 정책을 가진 시큐리티 그룹을 복사해 생성할 수 있습니다.
이와 관련된 더 자세한 내용은 시큐리티 그룹 관리하기 문서의 시큐리티 그룹 복사하기 항목을 확인해 주세요.

시큐리티 그룹 정책

시큐리티 그룹 정책은 트래픽 방향에 따라 인바운드 정책과 아웃바운드 정책으로 분류할 수 있으며, 각 정책은 프로토콜, 패킷 목적지/출발지, 포트 번호로 구성됩니다.

트래픽 방향

인스턴스 외부에서 내부로 들어오는 트래픽은 인바운드 정책으로 관리하고, 인스턴스 내부에서 외부로 나가는 트래픽은 아웃바운드 정책으로 관리합니다.

프로토콜

프로토콜은 네트워크/전송 단의 프로토콜을 의미합니다. TCP, UDP, ICMP, ALL 중에서 사용할 수 있습니다.

ALL을 입력할 경우, 모든 프로토콜에 대해 트래픽을 허용합니다.

패킷 목적지(Destination), 패킷 출발지(Source)

정책의 트래픽 방향이 인바운드인 경우, 패킷의 출발지를 기준으로 트래픽 필터링하고 트래픽 방향이 아웃바운드인 경우, 패킷의 목적지를 기준으로 트래픽을 필터링합니다.

패킷 목적지와 출발지는 아래와 같이 두 가지 방식으로 입력할 수 있습니다.

  • 허용하고자 하는 IP 주소 범위를 CIDR Notation으로 입력
    • 예시 : 10.0.0.0/24, 123.123.123.123/32

0.0.0.0/0을 입력할 경우, 모든 IP 주소 범위에 대해 트래픽을 허용합니다.

  • 시큐리티 그룹 이름 앞에 @를 포함하여 입력해, 해당 시큐리티 그룹과 연결된 모든 인스턴스를 허용
    • 예시 : @default-security-group, @security-group-name

@를 이용해 참조할 수 있는 시큐리티 그룹은 사용자가 속한 프로젝트에 접근 권한이 부여된 시큐리티 그룹으로 제한됩니다.

포트 번호

서비스가 공개된 포트를 의미하며 1 이상 65543 이하의 정수 중에서 선택할 수 있습니다. 하나의 포트를 선택하는 경우 80과 같이 입력할 수 있고, 여러 개의 연속된 포트를 선택하는 경우, 30000-40000과 같이 대시(-)를 이용해 시작 포트와 종료 포트를 입력할 수 있습니다.

기본 시큐리티 그룹

모든 프로젝트에는 시큐리티 그룹의 이름이 default인 기본 시큐리티 그룹이 자동으로 생성되며, 아래와 같은 인바운드 정책과 아웃바운드 정책이 설정됩니다.

인바운드 정책

프로토콜 패킷 출발지(Source) 포트 번호
TCP @default ALL

아웃바운드 정책

프로토콜 패킷 목적지(Destination) 포트 번호
ALL 0.0.0.0/0 ALL