[AWS] 보안 그룹의 소스로 보안 그룹 지정하기

 

EC2 인스턴스에는 보안 그룹을 설정하여 특정 트래픽만 인바운드, 아웃바운드를 허용할 수 있습니다.

security group

 

인바운드 규칙과 아웃바운드 규칙은 아래와 같이 정의할 수 있죠.

인바운드 규칙과 아웃바운드 규칙

 

그 중 소스 규칙을 한번 자세히 보죠. (아웃바운드에선 대상 규칙에 해당)

소스

CIDR 블록 같은 경우, 보안 그룹이 설정된 인스턴스에 인바운드로 트래픽이 올 때 소스 규칙에 명시된 CIDR 가 만족 되지 않으면 Deny 됩니다.

 

몇가지 예시를 살펴보죠.

• 0.0.0.0/0 으로 규칙을 정하면 모든 IP 로부터 들어오는 트래픽은 Allow 
• 198.162.0.1/16 으로 규칙을 정하면 198.162.xx.xx 로부터 들어오는 트래픽은 Allow
• 118.220.38.110/32 으로 규칙을 정하면 118.220.38.110 로부터 들어오는 트래픽만 Allow

 

이제 CIDR 블록은 그럭저럭 이해가 됩니다. 그런데 밑에 CIDR 블록 말고 보안 그룹도 있습니다.

보안 그룹의 소스로 보안 그룹을 설정한다? CIDR 블록과 다르게 직관적으로 어떻게 동작하는 지 예측하기 힘듭니다.

 

그래서 이번 글에서는 보안 그룹의 소스로 보안 그룹을 설정한다는 의미가 무엇인지 알아보고자 합니다.

 

렛츠두더코드~

렛츠두더코드

 

 

보안 그룹 생성

---

아래와 같이 인스턴스와 보안 그룹이 있습니다.

 

My First Instance 는 Security Group 1 의 보안 그룹을 가지고 있고, My Second Instance 는 Security Group 2 의 보안 그룹을 가지고 있습니다.

 

Security Group 1 의 인바운드 규칙은 아래와 같습니다.

Security Group 1 의 인바운드 규칙

 

두번째 인바운드 규칙을 보면, 소스에  Security Group 2 을 지정했습니다. (이미지에는 Security Group 2  의 ID 로 표시)

이게 바로 보안 그룹 소스의 보안 그룹을 설정한 것이죠. 자세한 설명은 뒤에서 하겠습니다.

 

포트 범위는 80 으로 지정했는 데 My First Instance 내부엔 80 포트로 응답을 받는 프로세스가 존재합니다.

출력 값

 

그리고 Security Group 2 의 인바운드 규칙도 살펴보죠.

Security Group 2 의 인바운드 규칙

SSH 를 위한 규칙 말고는 특별히 없습니다. 소스 또한 0.0.0.0/0 으로 했기 때문에 어디서든 22번 포트(SSH) 로 접근할 수 있습니다.

 

보안 그룹의 인바운드가 허용되면 암묵적으로 아웃바운드가 허용되고, 반대로 아웃바운드가 허용되면 암묵적으로 인바운드가 허용되기 때문에 아웃바운드 규칙에 대해서는 설정하지 않습니다.

 

 

그럼 이제 한번 테스트를 해보죠.

 

만약 로컬 브라우저에서 My First Instance 의 80 포트에 접근하면 어떻게 될까요?

로컬 브라우저에서 접근

 

접근이 안될 것입니다. 왜냐 포트 범위는 80 으로 일치하나 소스가 일치하지 않기 때문입니다.

 

그럼 어느 경우가 이 소스에 일치하는 경우일까요? 좀 더 진행해보죠.

거부됨

 

 

그럼 이제 My Second Instance 의 경우를 보죠.

My Second Instance 에는 Security Group 2 가 할당되었고, Security Group 1 의 소스는 Security Group 2 를 가르키고 있습니다.

 

과연 My Second Instance 에선 My First Instance 의 80 포트로 접근이 될까요?

My Second Instance 에서 접근

 

넵 이 경우에는 접근이 가능합니다. 왜냐구요? 위에서 계속 언급한 것처럼 Security Group 1 의 소스는 Security Group 2 를 가르키고 있기 때문입니다.

허용됨

 

그럼 이제 슬슬 눈치를 채셨을 겁니다.

 

보안 그룹(1)의 소스로 보안 그룹(2)을 지정한다는 의미는 보안 그룹 2 를 가진 인스턴스는 보안 그룹 1 를 가진 인스턴스에 접근이 가능하다는 것입니다.

My Second Instance -> My First Instance

 

 

한가지 주의 할 점은 퍼블릭 IP 가 아닌 프라이빗 IP 로 접근해야 한다는 것 입니다. 그 외에도 아래와 같은 조건이 충족되어야 합니다.

 

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/security-group-rules.html#security-group-referencing

 

AWS 가 이렇게 보안 그룹을 구성하도록 만든 이유는 간단합니다. 유연성을 위한 것이지요.

 

예를 들어 DB 인스턴스와 App 인스턴스가 있을 때, 이 2개의 인스턴스는 서로만 통신을 하고 싶습니다. 이때 각각 보안 그룹에 CIDR 블록을 지정할 필요 없이 서로의 보안 그룹을 소스로 지정하면 됩니다.

 

보안 그룹의 소스로는 자기 자신도 지정할 수 있는데 이 의미는 무엇인지 한번 생각해 보시기 바라면서 글을 마치겠습니다.

 

그럼 오늘은 여기까지!