AWS 보안 그룹 및 네트워크 ACL 사용의 주요 유스 케이스 차이점

Question

네트워크 ACL 및 보안 그룹의 상태 저장/상태 비 저장 속성을 알고 있습니다. 또한 보안 그룹이 인스턴스와 연관되어있는 반면 네트워크 ACL은 서브넷과 연관되어 있다는 것을 알고 있습니다.

위의 두

은 우리가 우리의 보안 정책을 인코딩해야 가장 눈에 띄는 차이가 있습니다.

그러나, 우리는 분명히 하나가 다른 것보다 낫다 볼 수있는 모든 사용 사례가있다?

예를 들어, 지금 당장 바스 티언 호스트의 네트워크 보안을 잠그고 있습니다. 보안 그룹 sg_A {입력 트래픽에 대해 알려진 IP 범위 집합에서 22 개만 허용}을 sg_A와 바스 티언 인스턴스를 연결할 수 있습니다. 또한이를 네트워크 ACL로 인코딩 할 수도 있습니다. net_acl_B {입구 트래픽에 대해 알려진 IP 범위 집합에서 22 개만 허용} net_acl_B를 요새 인스턴스가있는 서브넷에 연결합니다.

Answer 1

또한 네트워크 ACL에 인코딩 할 수 있습니다. net_acl_B {입구 트래픽의 알려진 IP 범위 집합에서 22 개만 허용} net_acl_B를 요새 인스턴스가있는 서브넷에 연결합니다.

아닙니다.

기본 네트워크 ACL 은 이미입니다. 모든 트래픽이 출입 가능합니다. 특정 트래픽을 명시 적으로 허용하면 모든 것이 바뀌지 않고 그대로 유지되므로 아무런 변화가 없습니다.

보안 그룹은 반대로 기본적으로 인바운드를 허용하지 않습니다.

두 엔터티가 전달하려는 모든 트래픽을 허용해야하기 때문에 여전히 보안 그룹에서 요새 호스트 액세스를 허용해야합니다. 어느 쪽도 "허용"에 대한 다른 규칙을 무시하지 않습니다 - 그들은 동의해야합니다.

상태가없는 네트워크 ACL은 응답 트래픽을 허용해야하지만 보안 그룹 인 Stateful은 그렇지 않습니다.

규칙 1 : 액세스 제어에 보안 그룹을 사용하십시오. 본질적으로 보안 그룹을 열어 놓은 다음 뒤돌아서 ACL을 유일한 방화벽 계층으로 사용하는 것은 결코 아닙니다.

규칙 2 옵션 A : 허용되는 더 큰 서브넷에서 조각 된 작은 서브넷의 트래픽을 차단하는 것과 같이 보안 그룹에서는 불가능한 제한 만 구현하려면 네트워크 ACL 만 사용하십시오.

규칙 2 옵션 B : 네트워크 ACL을 사용하여 실수로 허용되는 보안 그룹 구성 오류를 방지하기 위해 물리적으로 가장 먼저 논리적 인 두 번째 방어 계층으로 보안 그룹의 규칙 논리를 복제합니다.