Security Group

보안그룹은 인스턴스에 대한 인바운드 & 아웃바운드 트래픽을 제어하는 가상 방화벽 역할을 한다

| 인스턴스는 EC2 뿐만 아니라 RDS, ELB, Interface Endpoint 등도 포함된다

프로토콜 유형과 포트, IP 등을 지정하고 허용 규칙만 생성 가능하다 ⇒ 화이트 리스트

인스턴스 단위로 설정 가능하며 최대 5개 까지 동시 적용 가능하다

서로 다른 보안 그룹에도 할당 가능하며 인스턴스는 연결되어있는 모든 보안그룹의 룰에 영향을 받는다

Stateful 방식으로, 한 번 인바운드 한 트래픽은 아웃바운드 규칙을 적용받지 않으며, 한 번 아웃바운드를 통과하는 트래픽은 인바운드 규칙을 적용받지 않는다

NACL ( Network ACL )

접근 제어 목록은 서브넷에 대한 인바운드 & 아웃바운드 트래픽을 제어한다

하나의 NACL은 여러 서브넷에 적용 가능하지만 하나의 서브넷에는 하나의 NACL만 적용 가능하다

허용 규칙 뿐만 아니라 거부 규칙 생성도 가능하다, 명시되지 않은 트래픽은 모두 Deny 된다 ⇒ 블랙 리스트

인바운드, 아웃바운드 최대 20개 까지 적용 가능하다

Stateless 방식으로, 한 번 인바운드를 통과한 트래픽이라도 아웃바운드의 규칙을 적용받고, 아웃바운드를 통과한 트래픽이라도 인바운드 규칙을 적용 받는다

규칙 순서가 존재하여 상위의 규칙이 먼저 적용된다