Cloud

AWS ACL, Security Group 차이

달빛궁전- 2026. 3. 1. 16:23

AWS에서 ACL (Access Control List)과 Security Group의 차이점

AWS는 가끔하다보니 정리차원에서 작성

참고 Docs : https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#VPC_Security_Comparison

 

Infrastructure security in Amazon VPC - Amazon Virtual Private Cloud

Infrastructure security in Amazon VPC As a managed service, Amazon Virtual Private Cloud is protected by AWS global network security. For information about AWS security services and how AWS protects infrastructure, see AWS Cloud Security. To design your AW

docs.aws.amazon.com

 

 

  1. 범위 (Scope):
    • Security Group인스턴스 (네트워크 인터페이스) 레벨에서 작동합니다. 특정 인스턴스에 명시적으로 할당해야 합니다.
    • Network ACL서브넷 레벨에서 작동합니다. 연결된 서브넷에 배포된 모든 인스턴스에 자동으로 적용됩니다.
  2. 상태 (State):
    • Security Group: 상태 유지 (Stateful)입니다. 규칙과 관계없이 반환 트래픽이 허용됩니다. 예를 들어, 특정 포트의 들어오는 트래픽을 허용하면 해당 포트의 나가는 트래픽도 자동으로 허용됩니다.
    • Network ACL: 상태 없음 (Stateless)입니다. 반환 트래픽은 규칙에 명시적으로 허용되어야 합니다. 들어오는 규칙에 변경이 적용되더라도 나가는 규칙에는 적용되지 않습니다.
  3. 규칙 유형 (Rule Type):
    • Security Group허용 규칙만 지원하며, 다른 모든 것은 암시적으로 거부됩니다. 특정 IP 주소가 연결을 설정하지 못하도록 거부 규칙을 지정할 수 없습니다.
    • Network ACL허용 및 거부 규칙을 모두 지원합니다. 거부 규칙을 통해 특정 IP 주소가 EC2 인스턴스에 연결을 설정하지 못하도록 명시적으로 거부할 수 있습니다.
  4. 규칙 처리 순서 (Rule Process Order):
    • Security Group: 트래픽을 허용할지 여부를 결정하기 전에 모든 규칙을 평가합니다. (한 리소스에 여러 보안 그룹을 연결할 경우 각 보안 그룹의 규칙이 통합되어 액세스를 허용할지 여부를 결정하는 데 사용됩니다.)
    • Network ACL: 규칙을 순서대로 평가하며, 가장 낮은 번호의 규칙부터 시작하여 트래픽을 허용할지 여부를 결정합니다. 일치하는 규칙이 평가 중에 발견되면 나머지 규칙은 평가되지 않습니다.
  5. 방어 순서 (Defense Order):
    트래픽 방향 1차 방어 (First Line) 2차 방어 (Second Line)
    Inbound (들어올 때) Network ACL Security Group
    Outbound (나갈 때) Security Group Network ACL

정리 : Security Group은 EC2 인스턴스의 방화벽이며, Network ACL은 VPC 서브넷의 방화벽

참고 URL : https://medium.com/awesome-cloud/aws-difference-between-security-groups-and-network-acls-adc632ea29ae

 

AWS — Difference between Security Groups and Network Access Control List (NACL)

Security Group vs NACL in AWS

medium.com

 

 

저작자표시 비영리 변경금지 (새창열림)