Security group이란 무엇이며 어떻게 접근을 제어하나요?

Question

Accepted Answer

**Security group**은 AWS 리소스(예: EC2 인스턴스)로의 **인바운드 및 아웃바운드 트래픽**을 제어하는 가상 방화벽입니다 — 어떤 포트, 프로토콜, 소스가 허용되는지 정의합니다. AWS 네트워크 보안의 기본입니다.

## security group이 하는 일

```text
SECURITY GROUP은 리소스(EC2, RDS 등)에 연결된 가상 방화벽입니다:
  → 인바운드 규칙 — 어떤 트래픽이 리소스에 도달할 수 있는지 (포트, 프로토콜, 소스)
  → 아웃바운드 규칙 — 리소스가 무엇을 내보낼 수 있는지
  → 허용(ALLOW) 규칙만 (명시적 거부 없음); 허용되지 않은 모든 것은 기본 거부
  → 상태 저장(STATEFUL) — 인바운드가 허용되면 응답은 자동으로 다시 허용됨
```

## 예제 규칙

```text
웹 서버의 인바운드 규칙:
  TCP 443 (HTTPS) 허용 from 0.0.0.0/0   → 누구나 HTTPS 접근 가능
  TCP 80  (HTTP)  허용 from 0.0.0.0/0   → 누구나 HTTP 접근 가능
  TCP 22  (SSH)   허용 from <당신 IP>/32 → 당신 IP만 SSH 가능 (전 세계가 아님!)
→ 그 외 모든 것은 차단 (기본 거부)
```

## 강력한 패턴: 다른 security group 참조

```text
규칙은 IP뿐 아니라 다른 security group으로부터의 트래픽을 허용할 수 있습니다:
  → DB security group: app-server security group으로부터 5432 포트 허용
  → 의미: 앱 서버(IP가 무엇이든)만 데이터베이스에 도달 가능
→ 계층화된 보안: 웹 SG → 앱 SG → DB SG (각 계층은 이전 계층으로부터만 수락)
```

## security group vs NACL

```text
SECURITY GROUP → 리소스 수준; 상태 저장; 허용 전용; 주요 도구
NETWORK ACL (NACL) → 서브넷 수준; 무상태; 허용 및 거부 규칙;
  보조적이고 더 거친 계층
→ security group을 주요 제어로 사용; NACL은 서브넷 전체 규칙에 사용.
```

## 왜 중요한가

security group을 이해하는 것은 중요합니다. **AWS 네트워크 보안**의 기본으로 — 어떤 트래픽이 리소스에 도달할 수 있는지 제어하므로 — 리소스를 안전하게 배포하기 위한 필수적인 실무 지식이기 때문입니다.

security group은 리소스로 오가는 어떤 트래픽(포트, 프로토콜, 소스)이 허용되는지 정의하는 **가상 방화벽**으로 작동하며, 보안 기본 모델(허용 규칙만; 명시적으로 허용되지 않은 모든 것은 거부)과 상태 저장 동작(허용된 트래픽에 대한 응답은 자동으로 허용)을 갖습니다.

규칙을 올바르게 구성하는 방법을 이해하는 것은 보안에 필수적입니다 — 예를 들어 웹 서버에 대해 어디서나 HTTP/HTTPS를 허용하되 **SSH 접근을 특정 IP로 제한**(전체 인터넷이 아님 — SSH를 전 세계에 노출하는 것은 보안 위험이므로 흔하고 중요한 관행).

**다른 security group을 참조하는 강력한 패턴**(데이터베이스의 security group이 IP와 관계없이 앱 서버의 security group으로부터만 트래픽을 수락하도록 허용)은 깔끔한 **계층화된 보안 아키텍처**(웹 → 앱 → 데이터베이스, 각 계층이 이전 계층으로부터만 트래픽 수락)를 가능하게 합니다 — 노출을 제한하고 네트워크 수준에서 최소 권한을 따르는 모범 사례 접근법입니다.

**security group vs NACL**(주요하고 상태 저장이며 허용 전용 도구로서 리소스 수준의 security group; 더 거칠고 무상태인 보조 계층으로서 서브넷 수준의 NACL)을 이해하면 계층화된 네트워크 보안 모델을 명확히 알 수 있습니다.

리소스로의 네트워크 접근을 제어하는 것이 AWS 보안의 기본이고(잘못 구성된 접근 — 과도하게 열린 포트나 전 세계 접근 가능한 SSH/데이터베이스 같은 — 이 실제 취약점을 야기), security group이 이를 위한 주요 메커니즘이므로(security group 참조 패턴이 안전한 계층화 아키텍처를 가능하게 함), security group을 이해하는 것은 리소스를 안전하게 배포하기 위한 필수적이고 실무적으로 중요한 AWS 지식입니다 — 적절한 구성(적절한 접근 제한, 계층화된 security group 참조 사용)이 유출로 이어지는 네트워크 수준 노출을 직접 방지하는 핵심 보안 주제입니다.