network control

AWS Network ACL과 Security Group 차이점

AWS의 보안 설정 기능인 AWS Network ACL과 Security Group의 차이점, 알고 계신가요? 아래에서 자세히 확인해 보세요.


1.AWS Network ACL vs Security Group

Security GroupAWS Network ACL
인스턴스 기준 적용(1차 보안 계층)서브넷 기준 적용(2차 보안 계층)
룰에 대한 허용 규칙만 지원룰에 대한 허용 및 거부 규칙 지원
아웃바운드 요청에 대한 응답 자동 허용아웃바운드 요청에 대한 응답 규칙 정의 필요
등록된 모든 규칙을 평가하여 트래픽 허용등록된 규칙의 번호순으로 트래픽 허용 및 거부
특정 그룹을 지정시에만 Instance에 적용됨설정된 서브넷 하단의 모든 Instance에 자동 적용됨

2. 예시 구성

3. 제한 사항

Network ACL

  • 1개의 VPC에 Network ACL은 최대 200개 까지 생성 가능
  • 1개의 Network ACL에 등록 가능한 규칙은 기본 거부 규칙을 포함하여 인바운드 최대 20개, 아웃바운드 최대 20개 등록 가능. 한도는 최대 40개까지 늘릴 수 있으나 추가 규칙을 처리하기 위해 워크로드가 증가되어 네트워크 성능에 영향을 줄 수 있음

Security Group

  • 1개의 VPC에 Security Group은 최대 2500개 까지 생성 가능
  • Security Group별 인바운드 규칙은 최대 60개, 아웃바운드 규칙은 최대 60개 등록 가능
  • 1개의 Instance Network Interface에 설정할 수 있는 SG는 최대 5개 설정 가능

*참고

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/amazon-vpc-limits.html