[AWS] Security Group과 NACL 비교

 

NACL과 보안그룹

 

Security Group과 NACL

Security Gropu이랑 NACL(Network Access Control List)은 모두 인스턴스로의 트래픽을 제어하는 역할을 한다.

그러나 세부적으로는 여러 차이점이 존재한다.

 

 

1. 적용 범위

• Security Group : 인스턴스 수준으로 적용되고, 각 EC2 인스턴스마다 한 개 이상의 보안 그룹을 설정할 수 있다.
• NACL : 서브넷 수준에서 적용되고, 각 서브넷에 하나의 NACL이 적용된다. 서브넷 내부의 모든 인스턴스가 적용받는다.

 

2. 허용 규칙

• Security Group : 모든 allow rule을 지원한다.
• NACL : ALLOW 규칙과 DENY 규칙을 지원한다.

 

3. 상태

• Security Group : 상태기반(Stateful)이다. 만약, 인바운드 트래픽을 허용하면 해당 트래픽의 응답인 아웃바운드 트래픽도 자동으로 허용된다.
• NACL : 상태기반이 아니다(Stateless). 인바운드 및 아웃바운드 규칙이 별도로 적용된다. 그래서 특정 클라이언트에서 NACL이 설정된 서브넷 내부의 서버로 패킷을 주고 받을 때, 응답이 돌아가는 아웃바운드 트래픽에서 포트번호가 ephemeral(임시) port number로 정해지는 경우가 있다.

 

4. 규칙 우선 순위

• Security Group : 트래픽 허용에 있어 모든 규칙이 평가 받는다.
• NACL : 우선 순위가 높은 규칙부터 순서대로 평가 받고, 범위가 충돌될 경우, 우선 순위가 높은 규칙이 이긴다.