VPC 보안

Prev Next

VPC 환경에서 이용 가능합니다.

네이버 클라우드 플랫폼은 VPC 서비스의 보안 강화를 위해 Network ACL과 ACG(Access Control Group) 기능을 제공하고 있습니다. Network ACL(Network Access Control List)을 이용해 Subnet의 접근을 제어하고, Subnet 내 서버의 통신 보안은 ACG로 제어하여 강력한 네트워크 보안 체계를 구성할 수 있습니다. Network ACL과 ACG를 배치한 VPC 보안 체계 구성도 예시는 다음과 같습니다.

vpc-nacl-vpc_diagram_ko.png

구성도를 참고했을 때 ACG는 인바운드 및 아웃바운드 트래픽에 허용 규칙을 설정하여 서버의 트래픽을 제어한다는 것을 알 수 있습니다. 반면에 Network ACL은 서브넷 레벨에서 작동하며 인바운드 및 아웃바운드 트래픽에 대하여 허용 또는 차단 규칙을 적용할 수 있습니다. Network ACL을 이용하여 각 서브넷을 독립적인 네트워크로 구분 짓고, 서브넷 내 통신의 보안은 ACG로 제어함으로써 강력한 네트워크 보안 체계를 구성할 수 있습니다.
또한 두 가지 기능은 동작 방식에도 차이가 있습니다. ACG는 stateful 방식으로 동작합니다. Stateful은 트래픽 상태를 저장한다는 의미로, 인바운드 규칙에 의해 허용된 트래픽은 아웃바운드 규칙에 상관없이 응답할 수 있습니다. 반면에 Stateless 방식은 트래픽 상태를 저장하지 않으므로 인바운드 규칙에 의해 허용된 트래픽의 응답도 아웃바운드 규칙에 의해 필터링됩니다. 따라서 Network ACL은 규칙 설정 시 좀 더 엄격한 주의와 충분한 검증 테스트가 필요합니다.

참고

ACG의 아웃바운드 규칙에 설정이 존재하지 않는 경우, 서버에서 발신되는 요청 패킷은 차단될 수 있습니다.

위 내용을 토대로 Network ACL과 ACG의 특징 및 차이점을 간단하게 정리하면 다음과 같습니다.

Network ACL ACG
Subnet 접근 시 작동 서버 접근 시 작동
  • 인바운드/아웃바운드 트래픽의 허용 및 차단 규칙 모두 설정
  • 기본적으로 허용 규칙 적용
    		•
  • 인바운드/아웃바운드 트래픽의 허용 규칙만 설정
  • 기본적으로 차단 규칙 적용
    		•
    Stateless 방식: 트래픽 상태를 저장하지 않아 인바운드 규칙과 아웃바운드 규칙 별도 설정 필요 Stateful 방식: 트래픽 상태를 저장해 인바운드 규칙에서 허용되는 트래픽은 아웃바운드 자동 허용
    트래픽 허용 여부 결정 시 규칙을 우선순위로 처리 트래픽 허용 여부 결정 전 모든 규칙을 평가
    대상 서브넷 내 모든 서버에 적용(ACG를 지정하는 사용자에게 의존할 필요 없음) 서버 시작 시 보안 그룹을 지정하거나 나중에 보안 그룹을 인스턴스와 연결할 때만 적용

    VPC 보안을 위해 Network ACL과 ACG 사용 방법을 학습해 보십시오.