보안 개요
- 인쇄
- PDF
보안 개요
- 인쇄
- PDF
Article Summary
Share feedback
Thanks for sharing your feedback!
VPC 환경에서 이용 가능합니다.
ACG와 Network ACL
네이버 클라우드 플랫폼은 VPC의 보안을 강화하기 위해 사용할 수 있는 ACG와 Network ACL 두 가지 기능을 제공합니다.
- ACG는 Inbound 및 Outbound 트래픽에 허용 규칙을 설정하여 서버의 트래픽을 제어합니다. 반면에 Network ACL은 Subnet 레벨에서 작동하며 Inbound 및 Outbound 트래픽에 대하여 허용 또는 차단 규칙을 적용할 수 있습니다. Network ACL을 이용하여 각 Subnet을 독립적인 네트워크로 구분 짓고, Subnet 내 통신의 보안은 ACG로 제어함으로써 강력한 네트워크 보안체계를 구성할 수 있습니다.
- ACG는 "stateful", Network ACL은 "Stateless" 방식으로 각각 동작합니다. Stateful은 트래픽 상태를 저장한다는 의미로 Inbound 규칙에 의해 허용된 트래픽은 Outbound 규칙에 상관없이 응답할 수 있습니다. 반면에 Stateless 방식은 트래픽 상태를 저장하고 있지 않으므로 Inbound 규칙에 의해 허용된 트래픽의 응답도 Outbound 규칙에 의해 필터링됩니다. 따라서 Network ACL 규칙 설정은 각별한 주의와 충분한 검증 테스트가 요구됩니다.
참고
만약 ACG Outbound 규칙에 아무런 설정이 없는 경우 서버에서 발신되는 Request 패킷이 차단될 수 있습니다.
ACG와 Network ACL 비교
ACG와 Network ACL의 차이를 요약하면 아래표와 같습니다.
| ACG | Network ACL |
|---|---|
| 서버 레벨에서 운영됩니다. | Subnet 레벨에서 운영됩니다. |
| 허용 규칙만 지원합니다. | 허용 및 거부 규칙을 지원합니다. |
| Stateful : 규칙에 관계없이 반환 트래픽이 자동으로 허용됩니다. | Stateless : 반환 트래픽이 규칙에 의해 명시적으로 허용되어야 합니다. |
| 트래픽 허용 여부를 결정하기 전에 모든 규칙을 평가합니다. | 트래픽 허용 여부를 결정 시 규칙을 우선순위로 처리합니다. |
| 서버 시작 시, 보안 그룹을 지정하거나 나중에 보안 그룹을 인스턴스와 연결하는 경우에만 서버에 적용 됩니다. | 연결된 Subnet에서 모든 서버에 자동으로 적용됩니다. (ACG를 지정하는 사용자에게 의존할 필요가 없습니다.) |
이 문서가 도움이 되었습니까?