9. NHN Cloud - 보안
보안그룹, 네트워크 ACL , IP 접근 제어 이해해 보자.
<1> 서버 보안은 보안그룹
<2> 서브넷 보안은 네트워크 ACL
<3> 로드밸런서 보안은 IP 접근 제어
<4> 보안그룹 실습
<5> 네트워크 ACL 실습
<6> 로드밸런서 IP 접근 제어
<7> 정리
<1> 서버 보안은 보안그룹
1
서버 앞단에서 보안을 하는 역할이다.
기본적으로 막혀 있다.
허용만 허용한다.
예를 들어 ssh(22), http(80)등을 허용하며 사용한다.
상태를 저장하므로 수신 또는 송신 한쪽만 설명하면 된다.
2
NHN 클라우드 디폴트 보안 그룹 내용
Network > Seucrity Groups > default
VPC 외부에서 시작하는 모든 세션은 차단함. 디폴트로 모든 수신은 차단이다.
인스턴스에서 시작하는 건 모든 송신 트래픽 허용, VPC 내부에서 나가는 것은 모두 허용한다.
동일한 VPC 내 통신은 가능하다.
따라서, 리눅스 서버에 접속하려면 22 허용, 웹서비스를 하려면 80도 허용해야 한다.
// 다른 클라우드와 달리 22도 막혀 있으니 허용 후 사용이 필요하다.
<2> 서브넷 보안은 네트워크 ACL
서브넷 단위로 보안을 처리한다.
디폴트로 모두 허용되어 있다.
허용과 차단 모두 할 수 있다.
상태 저장을 하지 않는다.
들어오는 거 있으면, 나가는 것도 열어줘야 허용된다.
DDOS 등 네트워크를 한 번에 차단할 때 적용한다.
서브넷 간 통신을 제어할 때 사용한다.
NACL서비스는 한국(평촌) 리전에서만 이용할 수 있습니다. (2022년 4월 현재)
<3> 로드밸런서 보안은 IP 접근 제어
로드밸런서로 들어오는 트래픽을 제어(허용 또는 거부)할 필요가 있는 경우 사용한다.
IP만 설정가능하다. 포트, 프로토콜은 안된다.
수신 트래픽을 제어한다.
허용 또는 차단 정책을 적용한다.
<4> 보안그룹 실습
<5> 네트워크 ACL 실습
<6> 로드밸런서 IP 접근 제어
<7> 정리
1
NHN 클라우드 보안그룹은 디폴트로 모두 차단되어 있다.
ssh(22) 포트는 허용하고 사용하자.
다른 클라우드와 달리 ssh도 모두 막혀 있다.
2
NACL서비스는 한국(평촌) 리전에서만 이용할 수 있습니다. (2022년 4월 현재)
초기 구축 시 평촌으로 기본으로 해서 작업해야겠다.
AWS와 정책은 동일하다. 기본 모두 허용.
3
NHN클라우드는 로드밸런서용 IP접근 제어가 따로 있다.
// AWS는 ALB에서 보안그룹을 사용할 수 있다. NLB는 보안그룹이 없다.
https://brunch.co.kr/@topasvga/3166
감사합니다.
