SG vs NACL: 차단 전략의 핵심 차이
1. 작동 레이어: 대문(Subnet) vs 방문(Instance)
NACL (Subnet Level): 서브넷으로 들어오는 입구에서 검사합니다. 집으로 치면 '아파트 단지 정문' 보안 요원입니다. 정문에서 막히면 단지 내 어떤 동(인스턴스)으로도 갈 수 없습니다.
Security Group (Instance Level): 개별 인스턴스(ENI) 직전에서 검사합니다. 집으로 치면 각 '세대 현관문' 앞에 서 있는 보안 요원입니다.
2. 허용(Allow) vs 거부(Deny) - 가장 큰 차이!
보안 그룹 (SG): 허용(Allow) 규칙만 만들 수 있습니다. 즉, 화이트리스트 방식입니다. 특정 IP를 '차단'하는 기능은 따로 없고, 허용 리스트에 넣지 않음으로써 간접적으로 차단합니다.
NACL: 허용과 거부(Deny)를 모두 명시할 수 있습니다. 특정 IP 대역을 블랙리스트에 올려 즉시 차단하고 싶을 때 NACL을 사용하는 결정적인 이유입니다.
3. 상태 저장(Stateful) vs 상태 비저장(Stateless)
이 개념이 실무에서 가장 헷갈리는 부분입니다.
보안 그룹 (Stateful): 똑똑한 요원입니다. 들어오는 것을 허용했다면, 나가는 길은 따로 검사하지 않고 보내줍니다. (나가는 규칙을 일일이 설정할 필요가 없습니다.)
NACL (Stateless): 원칙주의자입니다. 들어오는 것을 허용했어도, 나가는 길(Ephemeral Port)에 대한 허용 규칙이 따로 없으면 패킷이 갇혀버립니다. 그래서 설정이 조금 더 까다롭습니다.
한눈에 비교하는 SG vs NACL
항목 | 보안 그룹 (Security Group) | 네트워크 ACL (NACL) |
적용 대상 | 인스턴스 (ENI) | 서브넷 (Subnet) |
규칙 유형 | 허용(Allow)만 가능 | 허용 & 거부(Deny) 모두 가능 |
상태 관리 | Stateful (응답 트래픽 자동 허용) | Stateless (응답 규칙 별도 필요) |
규칙 순서 | 모든 규칙을 다 훑은 후 허용 | 번호 순서대로(Priority) 실행 |
주요 용도 | 일반적인 서비스 포트 개방 | 특정 악성 IP 대역 일괄 차단 |
Tip
특정 IP 공격을 막으려면 NACL 번호판을 잘 보세요! NACL은 규칙 번호가 낮은 것부터 실행됩니다. 만약
Rule 100에서 모든 트래픽을 허용(Allow)하고 있는데, 뒤늦게Rule 200에서 특정 IP를 차단(Deny)해봐야 아무 소용이 없습니다. 차단 규칙은 항상 허용 규칙보다 낮은 번호(우선순위 높음)를 주어야 한다는 점을 꼭 기억하세요!
댓글
댓글 0개
이 문서에는 댓글을 달 수 없습니다.