Network Load Balancer의 보안 그룹 업데이트 - Elastic Load Balancing

Network Load Balancer의 보안 그룹 업데이트

보안 그룹을 Network Load Balancer와 연결하여 Network Load Balancer에 도달하고 나갈 수 있는 트래픽을 제어할 수 있습니다. 인바운드 트래픽을 허용할 포트, 프로토콜 및 소스와 아웃바운드 트래픽을 허용할 포트, 프로토콜 및 대상을 지정합니다. Network Load Balancer에 보안 그룹을 할당하지 않으면 모든 클라이언트 트래픽이 Network Load Balancer 리스너에 도달할 수 있고 모든 트래픽이 Network Load Balancer를 벗어날 수 있습니다.

대상과 연결된 보안 그룹에 Network Load Balancer와 연결된 보안 그룹을 참조하는 규칙을 추가할 수 있습니다. 이렇게 하면 클라이언트가 Network Load Balancer를 통해 대상으로 트래픽을 전송할 수 있지만 대상으로 직접 트래픽을 전송할 수는 없습니다. 대상과 연결된 보안 그룹에서 Network Load Balancer와 연결된 보안 그룹을 참조하면 Network Load Balancer에 대해 클라이언트 IP 보존을 활성화하더라도 대상이 Network Load Balancer로부터 트래픽을 허용합니다.

인바운드 보안 그룹 규칙에 의해 차단된 트래픽에 대해서는 요금이 부과되지 않습니다.

고려 사항

  • Network Load Balancer를 생성할 때 보안 그룹을 Network Load Balancer와 연결할 수 있습니다. 보안 그룹을 연결하지 않고 Network Load Balancer를 생성하면 나중에 해당 보안 그룹을 Network Load Balancer와 연결할 수 없습니다. Network Load Balancer를 생성할 때 보안 그룹을 Network Load Balancer와 연결하는 것이 좋습니다.

  • 연결된 보안 그룹이 있는 Network Load Balancer를 생성한 후 언제든지 Network Load Balancer와 연결된 보안 그룹을 변경할 수 있습니다.

  • 상태 확인에는 아웃바운드 규칙이 적용되지만 인바운드 규칙은 적용되지 않습니다. 아웃바운드 규칙이 상태 확인 트래픽을 차단하지 않는지 확인해야 합니다. 그렇지 않으면 Network Load Balancer는 대상을 비정상으로 간주합니다.

  • PrivateLink 트래픽에 인바운드 규칙이 적용되는지 여부를 제어할 수 있습니다. PrivateLink 트래픽에서 인바운드 규칙을 활성화하면 트래픽의 소스는 엔드포인트 인터페이스가 아니라 클라이언트의 프라이빗 IP 주소입니다.

Network Load Balancer와 연결된 보안 그룹의 다음 인바운드 규칙은 지정된 주소 범위에서 오는 트래픽만 허용합니다. 내부 Network Load Balancer인 경우 VPC CIDR 범위를 소스로 지정하여 특정 VPC로부터 트래픽만 허용할 수 있습니다. 인터넷의 모든 위치에서 오는 트래픽을 수락해야 하는 인터넷 연결 Network Load Balancer인 경우 0.0.0.0/0을 소스로 지정할 수 있습니다.

인바운드
프로토콜 소스 포트 범위 설명
protocol 클라이언트 IP 주소 범위 리스너 포트 리스너 포트에서 소스 CIDR의 인바운드 트래픽 허용
ICMP 0.0.0.0/0 모두 인바운드 ICMP 트래픽이 MTU 또는 경로 MTU 검색을 지원하도록 허용 †

† 자세한 내용은 Amazon EC2 사용 설명서에서 경로 MTU 검색을 참조하세요.

아웃바운드
프로토콜 대상 포트 범위 설명
모두 Anywhere 모두 모든 아웃바운드 트래픽을 허용합니다

Network Load Balancer에 보안 그룹 sg-111112222233333이 있다고 가정해 보겠습니다. 대상 인스턴스와 연결된 보안 그룹에서 다음 규칙을 사용하여 Network Load Balancer의 트래픽만 허용하도록 합니다. 대상이 대상 포트와 상태 확인 포트 모두에서 Network Load Balancer로부터 트래픽을 수락하는지 확인해야 합니다. 자세한 내용은 대상 보안 그룹 단원을 참조하십시오.

인바운드
프로토콜 소스 포트 범위 설명
protocol sg-111112222233333 대상 포트 대상 포트에서 Network Load Balancer의 인바운드 트래픽 허용
protocol sg-111112222233333 상태 확인 상태 확인 포트에서 Network Load Balancer의 인바운드 트래픽 허용
아웃바운드
프로토콜 대상 포트 범위 설명
모두 Anywhere 모두 모든 아웃바운드 트래픽을 허용합니다

연결된 보안 그룹 업데이트

Network Load Balancer를 생성할 때 하나 이상의 보안 그룹을 Network Load Balancer와 연결한 경우 언제든지 해당 Network Load Balancer에 대한 보안 그룹을 업데이트할 수 있습니다.

콘솔을 사용하여 보안 그룹을 업데이트하려면
  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창의 로드 밸런싱(Load Balancing) 아래에서 로드 밸런서(Load Balancers)를 선택합니다.

  3. Network Load Balancer를 선택합니다.

  4. 보안 탭에서 편집을 선택합니다.

  5. Network Load Balancer에 보안 그룹을 연결하려면 보안 그룹을 선택합니다. Network Load Balancer에서 보안 그룹을 제거하려면 보안 그룹을 선택 취소합니다.

  6. Save changes(변경 사항 저장)를 선택합니다.

AWS CLI를 사용하여 보안 그룹을 업데이트하려면

set-security-groups 명령을 사용합니다.

보안 설정 업데이트

기본적으로 Network Load Balancer로 전송되는 모든 트래픽에 인바운드 보안 그룹 규칙을 적용합니다. 그러나 겹치는 IP 주소에서 발생할 수 있는 AWS PrivateLink를 통해 Network Load Balancer로 전송되는 트래픽에는 이러한 규칙을 적용하지 않을 수 있습니다. 이 경우 AWS PrivateLink를 통해 Network Load Balancer로 전송되는 트래픽에 대한 인바운드 규칙을 적용하지 않도록 Network Load Balancer를 구성할 수 있습니다.

콘솔을 사용하여 보안 설정 업데이트
  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창의 로드 밸런싱(Load Balancing) 아래에서 로드 밸런서(Load Balancers)를 선택합니다.

  3. Network Load Balancer를 선택합니다.

  4. 보안 탭에서 편집을 선택합니다.

  5. 보안 설정에서 PrivateLink 트래픽에 인바운드 규칙 적용을 선택 해제합니다.

  6. Save changes(변경 사항 저장)를 선택합니다.

AWS CLI를 사용하여 보안 설정 업데이트

set-security-groups 명령을 사용합니다.

Network Load Balancer 보안 그룹 모니터링

SecurityGroupBlockedFlowCount_InboundSecurityGroupBlockedFlowCount_Outbound CloudWatch 지표를 사용하여 Network Load Balancer 보안 그룹에 의해 차단된 흐름의 수를 모니터링합니다. 차단된 트래픽은 다른 지표에 반영되지 않습니다. 자세한 내용은 Network Load Balancer의 CloudWatch 지표 단원을 참조하십시오.

VPC 흐름 로그를 사용하여 Network Load Balancer 보안 그룹에서 수락하거나 거부하는 트래픽을 모니터링합니다. 자세한 내용은 Amazon VPC 사용 설명서VPC 흐름 로그를 참조하세요.