Network Load Balancer의 보안 그룹 - Elastic Load Balancing

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Network Load Balancer의 보안 그룹

보안 그룹을 Network Load Balancer와 연결하여 로드 밸런서에 도달하고 나갈 수 있는 트래픽을 제어할 수 있습니다. 인바운드 트래픽을 허용할 포트, 프로토콜 및 소스와 아웃바운드 트래픽을 허용할 포트, 프로토콜 및 대상을 지정합니다. 로드 밸런서에 보안 그룹을 할당하지 않으면 모든 클라이언트 트래픽이 로드 밸런서 리스너에 도달할 수 있고 모든 트래픽이 로드 밸런서를 벗어날 수 있습니다.

대상과 연결된 보안 그룹에 Network Load Balancer와 연결된 보안 그룹을 참조하는 규칙을 추가할 수 있습니다. 이렇게 하면 클라이언트가 로드 밸런서를 통해 대상으로 트래픽을 전송할 수 있지만 대상으로 직접 트래픽을 전송할 수는 없습니다. 대상과 연결된 보안 그룹에서 Network Load Balancer와 연결된 보안 그룹을 참조하면 로드 밸런서에 대해 클라이언트 IP 보존을 활성화하더라도 대상이 로드 밸런서로부터 트래픽을 허용합니다.

인바운드 보안 그룹 규칙에 의해 차단된 트래픽에 대해서는 요금이 부과되지 않습니다.

고려 사항

  • Network Load Balancer를 생성할 때 보안 그룹을 Network Load Balancer와 연결할 수 있습니다. 보안 그룹을 연결하지 않고 Network Load Balancer를 생성하면 나중에 해당 보안 그룹을 로드 밸런서와 연결할 수 없습니다. 로드 밸런서를 생성할 때 보안 그룹을 로드 밸런서와 연결하는 것이 좋습니다.

  • 연결된 보안 그룹이 있는 Network Load Balancer를 생성한 후 언제든지 로드 밸런서와 연결된 보안 그룹을 변경할 수 있습니다.

  • 상태 확인에는 아웃바운드 규칙이 적용되지만 인바운드 규칙은 적용되지 않습니다. 아웃바운드 규칙이 상태 확인 트래픽을 차단하지 않는지 확인해야 합니다. 그렇지 않으면 로드 밸런서는 대상을 비정상으로 간주합니다.

  • 트래픽에 인바운드 규칙이 적용되는지 여부를 제어할 수 있습니다. PrivateLink PrivateLink 트래픽에 인바운드 규칙을 사용하도록 설정하는 경우 트래픽의 소스는 엔드포인트 인터페이스가 아니라 클라이언트의 프라이빗 IP 주소입니다.

Network Load Balancer와 연결된 보안 그룹의 다음 인바운드 규칙은 지정된 주소 범위에서 오는 트래픽만 허용합니다. 내부 로드 밸런서인 경우 VPC CIDR 범위를 소스로 지정하여 특정 VPC로부터 트래픽만 허용할 수 있습니다. 인터넷의 모든 위치에서 오는 트래픽을 수락해야 하는 인터넷 경계 로드 밸런서인 경우 0.0.0.0/0을 소스로 지정할 수 있습니다.

인바운드
프로토콜 소스(Source) 포트 범위 설명
protocol 클라이언트 IP 주소 범위 리스너 포트 리스너 포트에서 소스 CIDR의 인바운드 트래픽 허용
ICMP 0.0.0.0/0 모두 인바운드 ICMP 트래픽이 MTU 또는 경로 MTU 검색을 지원하도록 허용 †

† 자세한 내용은 Amazon EC2 - Linux 인스턴스용 사용 설명서경로 MTU 검색을 참조하세요.

아웃바운드
프로토콜 대상 포트 범위 설명
모두 Anywhere 모두 모든 아웃바운드 트래픽을 허용합니다

Network Load Balancer에 보안 그룹 sg-111112222233333이 있다고 가정해 보겠습니다. 대상 인스턴스와 연결된 보안 그룹에서 다음 규칙을 사용하여 Network Load Balancer의 트래픽만 허용하도록 합니다. 대상이 대상 포트와 상태 확인 포트 모두에서 로드 밸런서로부터 트래픽을 수락하는지 확인해야 합니다. 자세한 설명은 대상 보안 그룹 섹션을 참조하세요.

인바운드
프로토콜 소스(Source) 포트 범위 설명
protocol sg-111112222233333 대상 포트 대상 포트에서 로드 밸런서의 인바운드 트래픽 허용
protocol sg-111112222233333 상태 확인 상태 확인 포트에서 로드 밸런서의 인바운드 트래픽 허용
아웃바운드
프로토콜 대상 포트 범위 설명
모두 Anywhere 모두 모든 아웃바운드 트래픽을 허용합니다

연결된 보안 그룹 업데이트

로드 밸런서를 생성할 때 하나 이상의 보안 그룹을 로드 밸런서와 연결한 경우 언제든지 해당 로드 밸런서에 대한 보안 그룹을 업데이트할 수 있습니다.

콘솔을 사용하여 보안 그룹을 업데이트하려면
  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창의 Load Balancing 아래에서 로드 밸런서를 선택합니다.

  3. 로드 밸런서를 선택합니다.

  4. 보안 탭에서 편집을 선택합니다.

  5. 로드 밸런서에 보안 그룹을 연결하려면 보안 그룹을 선택합니다. 로드 밸런서에서 보안 그룹을 제거하려면 보안 그룹을 선택 취소합니다.

  6. 변경 사항 저장을 선택합니다.

AWS CLI를 사용하여 보안 그룹을 업데이트하려면

set-security-groups 명령을 사용합니다.

보안 설정 업데이트

기본적으로 로드 밸런서로 전송되는 모든 트래픽에 인바운드 보안 그룹 규칙을 적용합니다. 그러나 겹치는 IP 주소에서 발생할 수 있는 AWS PrivateLink를 통해 로드 밸런서로 전송되는 트래픽에는 이러한 규칙을 적용하지 않을 수 있습니다. 이 경우 AWS PrivateLink를 통해 로드 밸런서로 전송되는 트래픽에 대한 인바운드 규칙을 적용하지 않도록 로드 밸런서를 구성할 수 있습니다.

콘솔을 사용하여 보안 설정 업데이트
  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창의 Load Balancing 아래에서 로드 밸런서를 선택합니다.

  3. 로드 밸런서를 선택합니다.

  4. 보안 탭에서 편집을 선택합니다.

  5. 보안 설정에서 트래픽에 인바운드 규칙 적용을 선택 해제합니다. PrivateLink

  6. 변경 사항 저장을 선택합니다.

AWS CLI를 사용하여 보안 설정 업데이트

set-security-groups 명령을 사용합니다.

로드 밸런서 보안 그룹 모니터링

SecurityGroupBlockedFlowCount_InboundSecurityGroupBlockedFlowCount_Outbound CloudWatch 지표를 사용하여 로드 밸런서 보안 그룹에 의해 차단된 흐름의 수를 모니터링할 수 있습니다. 차단된 트래픽은 다른 지표에 반영되지 않습니다. 자세한 설명은 CloudWatch Network Load Balancer의 측정치 섹션을 참조하세요.

VPC 흐름 로그를 사용하여 로드 밸런서 보안 그룹에서 수락하거나 거부하는 트래픽을 모니터링합니다. 자세한 내용은 Amazon VPC 사용 설명서VPC 흐름 로그를 참조하세요.