| Security Group | NACL |
|---|---|
| 인스턴스 레벨에서 동작 | 서브넷 레벨에서 동작 |
| Allow 규칙만 지원 | Allow 및 Deny 규칙을 모두 지원 |
| 상태 저장: 반환 트래픽은 규칙과 상관없이 자동 허용 | 상태 비저장: 반환 트래픽은 명시적으로 허용해야 함 (에페메럴 포트 고려) |
| 모든 규칙이 평가된 후 트래픽 허용 여부 결정 | 규칙이 순서대로 평가됨 (낮은 번호 우선, 첫 일치 규칙 적용) |
| 지정된 경우 EC2 인스턴스에 적용 | 연결된 서브넷의 모든 EC2 인스턴스에 자동 적용 |
일반적으로 Security Group으로 Allow를 관리하되,
정말 명시적으로 Deny가 필요한 경우에만 NACL을 쓰는게 관리포인트를 준일원화하여 리소스를 줄이는 길이 아닐까 판단된다. (개인적인 생각)
728x90
'AWS' 카테고리의 다른 글
| [AWS] CloudWatch 기본 모니터링 vs 세부 모니터링 (0) | 2024.12.22 |
|---|---|
| [AWS] Amazon Inspector (0) | 2024.12.21 |
| [AWS] VPC Subnet의 할당 불가능한 IP에 대해 (1) | 2024.12.20 |
| [AWS] SSH(port 22) 없이 EC2에 접근하기 (0) | 2024.12.16 |
| [AWS] WAF vs FireWall Manager vs Shield (0) | 2024.12.16 |
댓글