Security Group vs NACL

보안 그룹은 상태를 기억하고 NACL은 서브넷 경계에서 번호순으로 본다

둘 다 방화벽처럼 보이지만 적용 위치와 상태 추적 방식이 다르다. 특히 NACL은 응답 트래픽까지 명시해야 한다.

Security Group은 ENI에 붙고 allow 규칙만 가진다.

NACL은 subnet에 붙고 allow/deny를 번호순으로 평가한다.

Stateless NACL은 ephemeral port 범위를 함께 고려한다.

Subnet boundary NACL 인바운드와 아웃바운드를 각각 검사한다. 첫 매칭 규칙이 적용된다.

100 allow 443in

110 allow 49152-65535out

→

ENI / instance Security Group 상태를 기억하므로 허용된 요청의 응답은 자동으로 돌아간다.

allow HTTPSfrom ALB SG

return trafficautomatic

주요 제어 대부분은 보안 그룹으로 최소 권한을 표현한다.

추가 방어 NACL은 서브넷 단위 deny나 넓은 경계 제어에 쓴다.

운영 팁 규칙 번호를 10 단위로 두면 중간 삽입이 쉽다.