3-2. 보안 그룹 설명 및 실습 (AWS Certified Developer Associate)

3. 보안그룹

 

1.내용

- 인스턴스 주변의 방화벽을 살펴보자

- 보안 그룹은 AWS 클라우드에서 네트워크 보안을 실해하는데 핵심이 된다.

- EC2 인스턴스에 들어오고 나가는 트래픽을 제어한다. (inbound and outbound 설정으로 설정한다.)

- 보안그룹은 오직 허용 규칙만 포함한다.

- 혀용된 것이 무엇인지 확인할 수 있고 IP 주소를 참조해 규칙을 만들 수 있다.

(컴퓨터의 위치나 다른 보안그룹을 참조하는 것)

 

아래그림을 참조하면 좋을듯

1-1 가정::

공공 인터넷(www)을 사용해 EC2에 엑세스 하려고 할 경우.

- EC2에 보안그룹을 설정해야된다.---> 이것이 바로 방화멱을 생성하는 것

- 보안그룹을 생성하면 보안 규칙을 가지게 되는데 이 규칙이 바로 Inbound traffic의 여부이다.

-  Inbound traffic의 여부에 외부로 접근을 허용하게 되면 Outbound trattic도 수행할 수 있다.

2. 조금더 자세히 설명하면

2-1.설명

- 보안그룹(Security groups)은 EC2의 방화벽(firewall)이다.

- 포트로의 엑세스를 통제한다.

- 인증된 IP 주소의 범위를 확인한다

   ::::>> IPv4인지 IPv6인지 그 이유는 인터넷 IP는 앞에 2가지 방법이 사용되기 때문이다.

- 외부 인스턴스로 들어오는 인바운드 네트워크를 통제한다.

- 내부 인스턴스에서 나가는 아웃바운드 네트워크도 통제한다. (아웃바운드의 기본값은 모두 허용이다.)

 -허용 네트워크 설정

  - Type : 네트워크 타입 설정

  -  Protocol : 프로토콜 선택

  - Port Range : 허용 포트번호 입력 (트래픽이 인스턴스에 통과하는 위치)

  - Source : IP주소 범위(0.0.0.0/0은 전체 IP를 의미한다.)

 

 

2-2. (시험에서 알아할 부분)

- 여러 인스턴스에 연결할 수 있다.

- 보안 그룹과 인스턴스 간의 1:1관계는 없다.(여러 보안 그룹을 연결할 수 있다.)

- 보안 그룹은 지역과 VPC 결합으로 통제된다. (지역 전환시 새 보안 그룹을 생성하거나 다른 VPC를 생성해야 된다)

- 트래픽이 차잔되면 EC2 인스턴스는 확인 할 수 없다.

- ( 보안그룹은 EC2 외부의 방화벽 )

- SSH 엑세스는 가장 복잡하기 때문에 별도 보안 그룹을 분리한다.*****

 

2-3. 보안 그룹이 문제인 경우

- TIME OUT으로 애플리케이션에 접근 불가시 보안그룹 문제를 의심해라,.

- 특정 포트 연결 시도시 컴퓨터가 무한정 대기한다?? 이또한 의심해라

BUT ::: >>> 연결 거부 오류 발생시(연결을 거부되었다는 응답을 받으면) 보안 그룹은 실행되고 있어 트래픽은 통과되었지만!!

애플리케이션에 문제가 있거나 실행되지 않은 것이기 때문에 연결이 거부 되어있다 생각하자!

 

보안그룹의 다른 보안 그룹을 참조하는 방법에는 가장 유용한 로드벨런서를 활용하면 됨

(로그벨런서는 추우에 학습하니 일따 이정두로만 알고있기)

 

3. 포트별 프로토콜 (시험 출제 가능성이 있으니 숙지!)

 

4. 보안그룹 실습

 - 아래 그림은 보안그룹 정보확인 및 생성 페이지 이다.

 - 우리는 기본으로 defalt와 launch-wizard-1 이라는 기본 그룹이 생성된다.

EC2/security Groups 페이지

-특정 보안그룹을 클릭하게되면 아래 화면과같이 해당 보안그룹의 정보들이 나타나는데 하단 모록창에 Inbound/outbound rules을 들어가면 현재 허용된 규칙들을 확인 할 수 있다.

보안 그룹 상세 페이지

- 다음으로 인바운드,아웃바운드를 Edit버튼을 클릭하면 아래와같이 원하는 네트워크를 설정할 수 있다. 이부분을 추후에도 자주 사용하게 될거니 이런 페이지가 있구나 정도알고있자.

네트워크 삭제 및 설정 방법