오늘은 NCP의 VPC(Virtual Private Cloud) 보안에 관련된 NACL(Network Access Control List)과 ACG(Access Control Group)을 알아보겠습니다.
NACL과 ACGL는 규칙 기반으로 인바운드/아웃바운드 트래픽을 제어하는데요.
아래 그림과 같이 Network ACL을 이용하여 각 Subent을 독립적인 네트워크로 구분짓고, Subnet 내 통신의 보안은 ACG로 제어함으로써 보안체계를 구성할 수 있어요.
NACL과 ACG는 적용 대상, 지원 규칙, 상태 저장 여부 및 적용방법에 차이가 있어요.
< NACL과 ACG의 비교 >
| 구분 | NACL | ACG |
| 적용대상 | 서브넷의 접근 제어 | 서버의 접근 제어 |
| 지원규칙 | 허용 및 거부(Allow/Deny) | 허용(Allow) |
| 상태 저장 여부 | 상태 비(非)저장(Stateless) : 반환 트래픽이 규칙에 의해 명시적으로 허용되어야 함 |
상태 저장(Stateful) : 규칙에 관계없이 반환 트래픽이 자동으로 허용됨 |
| 적용 방법 | 서브넷에 있는 모든 서버에 자동 적용 | ACG를 서버의 NIC에 적용 |
NACL과 ACG은 사용 한도가 정해져 있어요.
한국 리전을 기준으로 한도를 정리하였습니다.
< NACL과 ACG의 사용한도 >
| 구분 | 한도 | 제공 기준 |
| Network ACL 개수 | 200개 | VPC |
| Network ACL 규칙 개수 | 20개 | Network ACL |
| ACG 개수 | 500개 | VPC |
| ACG 규칙 개수 | 50개 | ACG |
| ACG 적용 개수 | 3개 | Network Interface |
추가로, Deny-Allow Group에 대해 소개드립니다.
2021년 2월에 새로 출시된 기능으로 기존의 NACL의 접근제어 기능을 향상시킨 것입니다.
기존 NACL 규칙은 IP 또는 Network 대역으로만 입력이 가능해서 보다 상세한 접근제어가 어려웠는데요.
Deny-Allow Group은 다수의 IP로 구성된 목록의 집합으로 NACL 규칙 설정시, 접근 소스 또는 목적지의 객체로써 동작합니다.
Deny-Allow Group의 제약사항은 아래와 같습니다.
- VPC당 최대 4개 제공
- Group당 IP 수량 최대 100개 제공
- IP 중복 등록 불가
- /32수준의 IP만 입력 가능
- IP수정 기능 미지원(등록/삭제만 가능)
'Cloud 보안 > NCP(Naver Cloud Platform)' 카테고리의 다른 글
| [NCP] NAT Gateway (0) | 2021.11.07 |
|---|---|
| [NCP] Classic / VPC 환경 (0) | 2021.11.07 |
| [NCP] Sub Account (0) | 2021.11.05 |
