보안 개요
- 인쇄
- PDF
보안 개요
- 인쇄
- PDF
Article Summary
Share feedback
Thanks for sharing your feedback!
VPC 환경에서 이용 가능합니다.
ACG와 Network ACL
네이버 클라우드 플랫폼는 VPC의 보안을 강화하기 위해 사용할 수 있는 ACG와 Network ACL 두 가지 기능을 제공합니다.
- ACG는 Inbound 및 Outbound 트래픽에 허용 규칙을 설정하여 서버의 트래픽을 제어합니다. 반면에 Network ACL은 Subnet 레벨에서 작동하며 Inbound 및 Outbound 트래픽에 대하여 허용 또는 차단 규칙을 적용할 수 있습니다. Network ACL을 이용하여 각 Subnet을 독립적인 네트워크로 구분 짓고, Subnet 내 통신의 보안은 ACG로 제어함으로써 강력한 네트워크 보안체계를 구성할 수 있습니다.
- ACG는 "stateful", Network ACL은 "Stateless" 방식으로 각각 동작합니다. Stateful은 트래픽 상태를 저장한다는 의미로 Inbound 규칙에 의해 허용된 트래픽은 Outbound 규칙에 상관없이 응답할 수 있습니다. 반면에 Stateless 방식은 트래픽 상태를 저장하고 있지 않으므로 Inbound 규칙에 의해 허용된 트래픽의 응답도 Outbound 규칙에 의해 필터링됩니다. 따라서 Network ACL 규칙 설정은 각별한 주의와 충분한 검증 테스트가 요구됩니다.
참고
- 만약 ACG Outbound 규칙에 아무런 설정이 없는 경우, 서버에서 발신되는 Request 패킷은 차단될 수 있습니다.
ACG와 Network ACL 비교
ACG와 Network ACL의 차이를 요약하면 아래표와 같습니다.
ACG | Network ACL |
---|---|
서버 레벨에서 운영됩니다. | Subnet 레벨에서 운영됩니다. |
허용 규칙만 지원합니다. | 허용 및 거부 규칙을 지원합니다. |
Stateful : 규칙에 관계없이 반환 트래픽이 자동으로 허용됩니다. | Stateless : 반환 트래픽이 규칙에 의해 명시적으로 허용되어야 합니다. |
트래픽 허용 여부를 결정하기 전에 모든 규칙을 평가합니다. | 트래픽 허용 여부를 결정 시 규칙을 우선순위로 처리합니다. |
서버 시작 시, 보안 그룹을 지정하거나 나중에 보안 그룹을 인스턴스와 연결하는 경우에만 서버에 적용 됩니다. | 연결된 Subnet에서 모든 서버에 자동으로 적용됩니다. (ACG를 지정하는 사용자에게 의존할 필요가 없습니다.) |
이 문서가 도움이 되었습니까?