AWS 보안 그룹(SecurityGroup) 사용 시 8가지 모범 사례

 

 안녕하세요.

오늘 배워볼 내용은 AWS 보안 그룹(SecurityGroup) 모범 사례에 대해 알아보고

모범 사례를 바탕으로 적용해보는 것을 해보도록 하겠습니다.

 

https://www.jit.io/blog/best-practices-for-aws-security-groups

8 Best Practices When Using AWS Security Groups | Jit

 

 

링크 에서는 8가지 모범 사례를 설명하지만, 필요한 것들만 정리해 보겠습니다.

1. Avoid using "default" Security Groups "기본값" 보안 그룹 사용 안함

default 라는 것은 VPC 를 만들 게 되면 기본적으로 생성되는 보안 그룹 입니다.

default 보안 그룹을 살펴보면 "모든 트래픽, 프로토콜 전체, 포트 범위 전체" 가 뚫려 있습니다.

인바운드, 아웃바운드가 전부 열려 있는 상태이기 때문에 "default" 는 사용 안하시는 게 좋습니다.

2. Simplify the management of security groups 보안 그룹 관리 간소화

Description, TAG 를 사용한다고 보면 되겠습니다.

특정 보안 그룹 규칙이 생성되거나 업데이트된 시기와 이유가 같은 세부 정보를 추가할 수 있습니다.

3. Minimize the number of Security Groups 보안 그룹 최소화

일반적으로 오류 감사 및 관리를 단순화하기 위해 보안 그룹 수를 최소화하는 것이 모범 사례로 간주됩니다.

유사한 기능이나 보안 요구 사항을 가진 리소스를 관리하려면 각 보안 그룹을 사용해야 합니다.

이렇게 하면 보안 그룹 수를 줄이고 오류를 방지하는 것이 더 쉬워집니다.

4. Avoid using large port ranges 큰 포트 범위 사용하지 마십시오

포트만으로 보안 그룹을 구성해야 합니다.

예시와 같이 큰 포트 범위를 사용하지 말라는 것 입니다.

EX] 8000-8080

실 사용 예시

은행 관련 기업을 운영하고 있다고 생각 해보겠습니다.

A 은행에는 예금, 적금, 대출 여러 개의 서비스가 존재합니다.

 

보안 그룹 관리 간소화, 보안 그룹 최소화를 적용하여 보안 그룹 수를 최소화 하겠습니다.

기본적으로 접속을 해야 되니 때문에 22번 포트를 열어주겠습니다.

예금, 적금, 대출의 경우 회사 내부에서 관리하고 진행하는 것이라 내부망으로 보안 그룹을 생성해줬습니다.

그러면 22번 포트, 내부망 보안 그룹 총 2개의 보안 그룹이 생성 됩니다.

 

이런식으로 최대한 보안 그룹 관리를 간소화 하고,

보안 그룹 최소화를 적용하여 보안 그룹 수를 최소화 해야 합니다.

 

그리고 만약 10 개의 A-J 의 인스턴스를 관리한다고 하면

ssh 는 한 개로 묶어서 관리하고, A-securitygroup-, B-securitygroup, ...

이런식으로 인스턴스마다 보안그룹을 만드는 게 좋다고 생각 합니다.

 

왜 인스턴스마다 보안그룹을 만들어야 할까요?

인스턴스마다 환경이 다르고, 보안 그룹 인바운드, 아웃바운드도 다르게 설정 할 경우가 있기 때문입니다.

 

혹시나 이 생각에 조언을 주시거나 틀린 부분이 있으면 댓글로 알려주시면 감사하겠습니다.