보안 그룹 및 네트워크 ACLs (BP5)

Amazon Virtual Private Cloud (AmazonVPC) 를 사용하면 정의한 가상 네트워크에서 AWS 리소스를 시작할 수 AWS 클라우드 있는 논리적으로 격리된 구역을 프로비저닝할 수 있습니다.

보안 그룹과 ACLs 네트워크는 조직 내 AWS 리소스에 대한 액세스를 제어할 수 있다는 점에서 비슷합니다VPC. 그러나 보안 그룹을 사용하면 인스턴스 수준에서 인바운드 및 아웃바운드 트래픽을 제어할 수 있는 반면, 네트워크는 VPC 서브넷 수준에서 유사한 기능을 ACLs 제공합니다. 보안 그룹 또는 네트워크 사용에 따른 추가 요금은 없습니다. ACLs

인스턴스를 시작할 때 보안 그룹을 지정할지 또는 나중에 인스턴스를 보안 그룹과 연결할 것인지 선택할 수 있습니다. 트래픽을 허용하는 허용 규칙을 만들지 않는 한 보안 그룹에 대한 모든 인터넷 트래픽은 암시적으로 거부됩니다.

예를 들어, Elastic Load Balancer 뒤에 Amazon EC2 인스턴스가 있는 경우 인스턴스 자체는 공개적으로 액세스할 수 없고 IPs 비공개로만 가능해야 합니다. 대신, 대상 그룹 서브넷의 네트워크 액세스 제어 목록 () 과 함께 0.0.0.0/0에 대한 액세스를 허용하는 보안 그룹 규칙 (아래 참고 참조) 을 사용하여 Elastic Load Balancer IP 범위만 인스턴스와 통신하도록 허용하는 보안 그룹 규칙을 사용하여 Elastic Load Balancer에 필요한 대상 수신기 포트에 대한 액세스 권한을 제공할 수 있습니다. NACL 이렇게 하면 인터넷 트래픽이 Amazon EC2 인스턴스와 직접 통신할 수 없으므로 공격자가 애플리케이션에 대해 알아내고 애플리케이션에 영향을 미치기가 더 어려워집니다.

네트워크를 ACLs 생성할 때 허용 및 거부 규칙을 모두 지정할 수 있습니다. 이는 애플리케이션에 대한 특정 유형의 트래픽을 명시적으로 거부하려는 경우에 유용합니다. 예를 들어 전체 서브넷에 대한 액세스가 거부되는 IP 주소 (CIDR범위), 프로토콜 및 대상 포트를 정의할 수 있습니다. 애플리케이션이 트래픽에만 사용되는 경우 모든 TCP UDP 트래픽을 거부하거나 그 반대의 규칙을 만들 수 있습니다. 이 옵션을 사용하면 소스 IPs 또는 기타 시그니처를 알면 DDoS 공격을 완화하는 규칙을 직접 만들 수 있으므로 공격에 대응할 때 유용합니다.

를 구독하는 AWS Shield Advanced경우 엘라스틱 IP 주소를 보호된 리소스로 등록할 수 있습니다. DDoS보호 리소스로 등록된 엘라스틱 IP 주소에 대한 공격은 더 빠르게 탐지되므로 방어 시간이 더 빨라질 수 있습니다. 공격이 탐지되면 DDoS 방어 시스템은 대상 엘라스틱 IP 주소에 ACL 해당하는 네트워크를 읽고 서브넷 수준이 아닌 AWS 네트워크 경계에서 적용합니다. 이렇게 하면 여러 인프라 계층 공격으로 인한 영향을 받을 위험이 크게 줄어듭니다. DDoS

DDoS복원력을 ACLs 최적화하도록 보안 그룹과 네트워크를 구성하는 방법에 대한 자세한 내용은 공격 표면을 줄여 DDoS 공격에 대비하는 방법을 참조하십시오.

엘라스틱 IP 주소가 포함된 Shield Advanced를 보호 리소스로 사용하는 방법에 대한 자세한 내용은 구독 단계를 참조하십시오 AWS Shield Advanced.