[AWS] EC2 인스턴스 보안그룹 규칙, 트래픽 제어 & 클래식 PORT

보안그룹 & 클래식 포트

AWS 클라우드 환경에서 네트워크 보안을 관리하는 데 있어 보안 그룹(Security Groups)과 클래식 포트(Classic Ports)는 핵심적인 역할을 합니다. 이 글에서는 보안 그룹의 개념과 설정 방법, 주요 포트 및 프로토콜에 대해 상세히 알아보겠습니다. 

---

보안 그룹(Security Groups) 이해하기

보안 그룹이란?

보안 그룹(Security Groups)은 AWS 클라우드에서 네트워크 보안을 수행하는 주요 도구로, EC2 인스턴스의 네트워크 트래픽을 제어합니다. 보안 그룹은 가상 방화벽 역할을 하며, 인스턴스의 인바운드(들어오는) 및 아웃바운드(나가는) 트래픽을 허용하거나 차단하는 규칙을 설정할 수 있습니다.

 

보안 그룹은 상태 기반(Stateful)으로 작동합니다. 즉, 인바운드 트래픽을 허용하면 자동으로 해당 트래픽에 대한 아웃바운드 응답도 허용됩니다.

---

트래픽 제어 방식

보안 그룹은 다음과 같은 방식으로 트래픽을 제어합니다

• 인바운드 트래픽(Inbound Traffic): 외부에서 EC2 인스턴스로 들어오는 트래픽을 제어합니다.
• 아웃바운드 트래픽(Outbound Traffic): EC2 인스턴스에서 외부로 나가는 트래픽을 제어합니다.

위의 다이어그램을 보면 공용 인터넷을 사용하며 컴퓨터에서 EC2 인스턴스에 액세스하려고 합니다.
이때, EC2 인스턴스를 보호하기 위해 보안 그룹(방화벽)을 생성하며, 이 보안 그룹은 인바운드(외부에서 EC2로)와 아웃바운드(EC2에서 인터넷으로) 트래픽 허용 여부를 규칙으로 설정합니다.

• 보안 그룹은 허용 규칙(Allow Rules)만 설정할 수 있으며, 거부 규칙(Deny Rules)은 사용할 수 없습니다.
• 이는 기본적으로 모든 인바운드 트래픽을 차단하고, 명시적으로 허용된 트래픽만 허용하는 방식입니다.

---

보안 그룹 규칙 예시

보안 그룹 규칙은 다음과 같은 요소로 구성됩니다

• Type(유형): 트래픽의 유형을 지정합니다. 예: SSH, HTTP, HTTPS 등.
• Protocol(프로토콜): 트래픽에 사용되는 프로토콜을 지정합니다. 일반적으로 TCP, UDP, ICMP 등이 사용됩니다.
• Port Range(포트 범위): 트래픽이 허용될 포트 범위를 지정합니다.
• Source/Destination(소스/대상): 트래픽이 허용될 IP 주소 범위나 다른 보안 그룹을 지정합니다.

예시

위의 예시에서는 두 가지 인바운드 규칙이 설정되어 있습니다

1. SSH (포트 22): 모든 IP 주소(0.0.0.0/0)에서 EC2 인스턴스로의 SSH 접근을 허용합니다.
2. HTTP (포트 80): 모든 IP 주소에서 EC2 인스턴스로의 HTTP 접근을 허용합니다.

Security Groups Diagram

EC2 인스턴스에는 인바운드와 아웃바운드 규칙을 가진 보안 그룹이 연결됩니다.

• 인바운드 규칙: 컴퓨터는 22번 포트에서 인증을 받아 EC2에 트래픽을 전송할 수 있습니다. 하지만 허가되지 않은 IP 주소에서의 접근은 방화벽이 차단해 타임아웃됩니다.
• 아웃바운드 규칙: 기본적으로 모든 보안 그룹은 EC2 인스턴스에서 나가는 모든 트래픽을 허용합니다. 따라서 EC2 인스턴스가 웹 사이트에 연결을 시도하면 보안 그룹이 이를 허용합니다. 이렇게 보안 그룹은 방화벽 역할을 하여 트래픽을 제어합니다. → 이게 방화벽의 작동 규칙.

---

보안 그룹의 주요 사항

• 여러 인스턴스에 연결 가능: 하나의 보안 그룹을 여러 EC2 인스턴스에 적용할 수 있어 관리가 용이합니다.
• 리전 및 VPC 한정: 보안 그룹은 특정 리전과 VPC 내에서만 동작합니다. 다른 리전이나 VPC로 전환 시, 해당 환경에 맞는 보안 그룹을 새로 생성해야 합니다.

보안 그룹은 특정 리전과 VPC 조합에만 제한되므로, 다른 지역으로 전환하거나 다른 VPC를 생성할 때는 보안 그룹을 다시 생성해야 합니다.

• EC2 인스턴스 외부에서 작동: 보안 그룹은 실제 EC2 인스턴스 내부가 아닌, 외부의 방화벽 역할을 합니다. 따라서 보안 그룹 설정이 EC2 인스턴스의 방화벽과 별개로 작동합니다.
• SSH 접근을 위한 별도 보안 그룹 권장: 관리 편의성과 보안을 위해 SSH 접근용 보안 그룹을 별도로 생성하는 것이 좋습니다.

SSH 액세스를 위해 별도의 보안 그룹을 유지하면, 필요할 때만 해당 보안 그룹을 수정할 수 있어 보안이 강화됩니다.
→ SSH 액세스를 위해서만 별도의 보안 그룹을 하나 유지하는 것이 좋습니다.

---

다른 보안 그룹의 보안 그룹을 참조하는 방법

아래의 다이어 그램으로 한번 보겠습니다.

인바운드 규칙은 기본적으로 보안 그룹 1번 인바운드와 보안 그룹 2번을 승인했습니다.
→ 다른 EC2 인스턴스를 시작하고 여기에 보안 그룹 2번이 연결되어 있다면, 방금 설정한 보안 그룹 실행 규칙을 사용하면 기본적으로 EC2 인스턴스가 포트를 통해 직접 연결 가능합니다.

• 다만, 보안 그룹 3번은 그룹 1번의 인바운드 보안 규칙에서 승인되지 않았기 때문에 거부되고 작동하지 않습니다.

---

클래식 포트(Classic Ports)란?

클래식 포트(Classic Ports)는 네트워크 통신에서 자주 사용되는 표준 포트를 의미합니다. 각 포트는 특정 서비스나 프로토콜과 연관되어 있으며, 보안 그룹을 설정할 때 이러한 포트를 기반으로 트래픽을 제어합니다.

주요 포트 및 프로토콜

다음은 AWS 환경에서 자주 사용되는 주요 포트와 프로토콜의 예시입니다.

• 22 (SSH): Linux 인스턴스에 로그인하기 위한 Secure Shell 프로토콜.
• 21 (FTP): 파일 공유 및 파일 업로드를 위한 File Transfer Protocol.
• 22 (SFTP): SSH를 이용한 보안 파일 전송 프로토콜.
• 80 (HTTP): 보안되지 않은 웹사이트 접속을 위한 HyperText Transfer Protocol.
• 443 (HTTPS): 보안된 웹사이트 접속을 위한 HyperText Transfer Protocol Secure.
• 3389 (RDP): Windows 인스턴스에 로그인하기 위한 Remote Desktop Protocol.

---

보안 그룹 설정 해보기

보안 그룹을 설정하여 EC2 인스턴스를 보호하는 방법을 단계별로 살펴보겠습니다.

보안 그룹 생성 및 규칙 설정

• EC2 대시보드로 이동: AWS Management Console에 로그인한 후, EC2 서비스를 선택합니다.
• 보안 그룹으로 이동: 왼쪽 사이드바에서 네트워크 및 보안 섹션 아래의 보안 그룹(Security Groups)을 클릭합니다.
• 보안 그룹 생성: 보안 그룹 생성(Create Security Group) 버튼을 클릭합니다.

그 전에, 보안그룹을 클릭해보면, 보안 그룹에도 식별자인 ID가 있고요, 인바운드 규칙을 확인해 볼 수 있습니다.
→ 인바운드 규칙은 외부에서 EC2 인스턴스로 연결할 수 있게 해주는 규칙

• 인바운드 규칙: 여기에는 2개의 인바운드 규칙이 있습니다.
  • 첫 번째는 SSH 타입이고요, 그게 우리 인스턴스의 포트 22를 허용합니다. 그럼 첫 번째는 포트 22의 SSH로서 어디서나 접속할 수 있죠, 즉 0.0.0.0/0가 Anywhere를 가리킵니다
  • 두 번째는 HTTP로서 포트는 역시 80이고요, 어디서나 접속할 수 있습니다.

Tip: Timeout이 나오는 경우 → EC2 인스턴스 접속 시 타임아웃이 발생한다면, 이는 100% 보안 그룹 규칙 문제입니다.
이때 보안 그룹 설정이 올바른지 확인하고 수정해야 타임아웃을 방지할 수 있습니다.

• 보안 그룹 세부 정보 입력:
  • 보안 그룹 이름(Name): 예: my-security-group
  • 설명(Description): 예: My EC2 Security Group
  • VPC: 해당 보안 그룹이 속할 VPC를 선택합니다.

인바운드 규칙 설정

인바운드 규칙은 외부에서 EC2 인스턴스로 들어오는 트래픽을 제어합니다.

원하는 포트 or 포트 범위 지정
HTTPS인 443 같은 어떤 포트도 정의 또는 여기 있는 드롭다운에서 원하는 프로토콜 타입을 직접 선택할 수도 있습니다.

• SSH (포트 22):
  • Type: SSH
  • Protocol: TCP
  • Port Range: 22
  • Source: 0.0.0.0/0 (모든 IP 주소) 또는 특정 IP 주소 범위
• HTTP (포트 80):
  • Type: HTTP
  • Protocol: TCP
  • Port Range: 80
  • Source: 0.0.0.0/0 (모든 IP 주소)

아웃바운드 규칙 설정

아웃바운드 규칙은 EC2 인스턴스에서 외부로 나가는 트래픽을 제어합니다.
기본 설정은 모든 아웃바운드 트래픽을 허용하는 것이지만, 보안 요구사항에 따라 규칙을 수정할 수 있습니다.

모든 곳으로 가는 IPv4의 모든 트래픽을 허용할 수 있습니다.

• 모든 아웃바운드 트래픽 허용:
  • Type: All traffic
  • Protocol: All
  • Port Range: All
  • Destination: 0.0.0.0/0

이렇게 하면 EC2 인스턴스가 모든 곳에 대한 완전한 인터넷 연결성을 갖게 됩니다.
원하는대로 보안그룹을 첨부하고, 각각의 규칙을 추가할 수 있습니다.

---

클래식 포트 관리 팁

• 필요한 포트만 열기: 애플리케이션에 필요한 최소한의 포트만 열어 보안을 강화합니다.
• IP 주소 제한: 특정 IP 주소나 IP 범위만 접근할 수 있도록 제한하여 불필요한 접근을 차단합니다.
• 프로토콜 정확히 지정: 가능한 경우, 프로토콜을 명확하게 지정하여 트래픽을 더 세밀하게 제어합니다.
• 정기적인 보안 그룹 검토: 주기적으로 보안 그룹 규칙을 검토하여 불필요한 포트나 허용된 IP 주소를 제거합니다.

---

문제 해결 및 최적화

애플리케이션 타임아웃 해결

EC2 인스턴스에 접속할 때 타임아웃이 발생한다면, 이는 보안 그룹 설정 문제일 가능성이 높습니다. 다음을 확인하세요:

1. 인바운드 규칙 확인: 필요한 포트가 올바르게 열려 있는지 확인합니다.
2. 소스 IP 확인: 접속 시도하는 IP 주소가 보안 그룹의 소스 규칙에 포함되어 있는지 확인합니다.
3. 네트워크 ACL 확인: VPC의 네트워크 ACL이 트래픽을 차단하고 있지 않은지 확인합니다.

연결 거부(Connection Refused) 해결

EC2 인스턴스에 연결 시 연결 거부 메시지가 나타난다면, 이는 다음과 같은 원인일 수 있습니다:

1. 애플리케이션 문제: 애플리케이션이 실행 중인지 확인합니다.
2. 포트 설정 확인: 애플리케이션이 올바른 포트에서 수신 대기 중인지 확인합니다.
3. 보안 그룹 규칙 확인: 해당 포트가 보안 그룹에서 허용되어 있는지 확인합니다.

---

AWS의 보안 그룹(Security Groups)과 클래식 포트(Classic Ports)는 EC2 인스턴스의 네트워크 보안을 관리하는 데 필수적인 도구입니다. 보안 그룹을 통해 인바운드 및 아웃바운드 트래픽을 세밀하게 제어하고, 클래식 포트를 올바르게 관리함으로써 클라우드 환경의 보안을 강화할 수 있습니다.

주요 포인트

• 보안 그룹: 인바운드와 아웃바운드 트래픽을 규칙으로 설정하여 EC2 인스턴스를 보호합니다.
• 클래식 포트: 자주 사용되는 표준 포트를 이해하고, 필요한 포트만 열어 보안을 강화합니다.
• 보안 모범 사례: 최소 권한 원칙을 준수하고, 정기적으로 보안 그룹과 포트 설정을 검토합니다.

---

참고 자료

• AWS 공식 문서 - 보안 그룹(Security Groups): Security Groups for Your VPC
• AWS 공식 문서 - EC2 인스턴스 유형: Amazon EC2 Instance Types
• AWS 공식 문서 - EC2 User Data: User Data
• AWS 공식 문서 - 네트워크 ACL: Network ACLs
• Amazon EC2 Instance Comparison: instances.vantage.sh