ACL DESIGN

ACL은 허용 목록을 좁힐수록 강해진다

좋은 ACL은 필요한 경로만 열고, 관리 포트와 데이터베이스를 내부 네트워크나 보안 그룹 뒤에 둔다.

allowdenysegment

Public80/443

웹 진입점은 로드밸런서나 프록시로 모은다.

AdminSSH/RDP

VPN, Bastion, MFA, IP 제한으로 관리 경로를 좁힌다.

DatabaseDB Port

애플리케이션 서브넷에서만 접근하게 둔다.

허용된 포트 안의 문제

정상 계정 탈취, 애플리케이션 로직 남용, SQL Injection은 ACL만으로 충분히 다루기 어렵다.

세그먼테이션

내부 lateral movement를 줄이려면 네트워크 구역과 권한 경계를 함께 설계한다.