AWS 보안 그룹 default 사용 지양...왜? #1

https://aws-hyoh.tistory.com/72

 안녕하세요.

보안상 사용하지 말라는 default 에 대해서 알아보겠습니다.

보안그룹이란?

AWS 보안 그룹은 인스턴스 또는 리소스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽 역할을 합니다. 그 중에서도 'default' 보안 그룹은 특정 보안 그룹이 지정되지 않은 경우 적용되는 기본 보안 그룹입니다.

default 특징

1. 전체 트래픽 허용: 'default' 보안 그룹은 모든 인바운드 트래픽을 허용하고 모든 아웃바운드 트래픽을 허용합니다. 즉, 인스턴스 간에 통신은 가능하며, 외부와의 통신도 모든 포트로 허용됩니다.
2. 자동 생성: AWS 계정을 만들면 'default' 보안 그룹이 자동으로 생성되며 모든 EC2 인스턴스에 자동으로 할당됩니다.
3. 수정 가능:  'default' 보안 그룹은 수정 가능합니다. 따라서 필요한 경우 포트 및 규칙을 추가하거나 수정 할 수 있습니다.
4. 삭제 불가능: 'default' 보안 그룹은 삭제할 수 없습니다. 그러나 규칙을 변경하거나 수정할 수 있습니다.
5. 초기 상태: 'default' 보안 그룹의 초기 상태는 모든 인바운드 트래픽을 허용하고 모든 아웃바운드 트래픽을 허용하는 것 입니다.

default 장점

1. EC2 인스턴스가 'default' 보안 그룹을 사용하고 있다면, 이 인스턴스는 같은 보안 그룹을 사용하는 다른 EC2 인스턴스와의 통신이 허용됩니다.
2. 로드밸런서도 'default' 보안 그룹을 사용할 수 있으며, 이 경우 로드 밸런서에 연결된 인스턴스와의 통신이 'default' 보안 그룹의 규칙에 따라 이루어집니다.

default 단점

1. 실제 환경에서는 'default' 보안 그룹의 규칙을 신중하게 관리해야 하며, 보안 정책에 따라 필요한 포트 및 규칙을 추가하고 다른 서비스의 보안 그룹을 사용하는 것이 좋습니다.
2. 모든 트래픽을 허용하도록 설정되어 있어 보안상 취약할 수 있습니다.
3. 정확한 보안을 위해서는 필요한 규칙을 명시적으로 정의한 보안 그룹을 사용하는 것이 좋습니다.

 

 다들 보안상의 이슈로 사용을 지양한다는 말이 많아서 왜 지양해야 할까?

 

보안상 문제를 제외하고 장점을 찾아보면 default 로 연결만 되어 있다면

Load Balancer to EC2 연결이 default 보안그룹 하나만으로 가능하다는 장점이 있습니다.

그 뿐만이 아닙니다. RDS to EC2 연결 또한 default 보안그룹으로 가능합니다.

즉 VPC 내의 어떤 인스턴스던 간에 연결할 수 있는 것 입니다.

 

보안적인 측면에서는 사용을 지양하는 게 맞습니다.

하지만 보안상 이슈 없는 프로젝트에서는 default 를 사용해도 좋을 것 같습니다!

 

감사합니다.

 

https://newbiecs.tistory.com/415

AWS 보안 그룹 default 를 이용해서 EC2 연결 #2