EC2 보안 그룹은 훌륭해 보이지만 저는 AWS 시스템을 처음 접했기 때문에 이 질문을 하게 되었습니다. AWS 보안 그룹이 있는 동안 서버 방화벽도 설정해야 합니까? 내 요점은 AWS 시스템에서 다른 계정이 내 서버에 액세스할 수 있다는 것입니다. 모든 AWS 계정이 보안 그룹 내에 있으면 내부 해킹이 가능하기 때문이죠??? 예를 들어 내 서버는 www.abc.com이고 다른 사람은 서버 계정(www.hello.com)을 가지고 있으므로 hellow.com 서버는 보안 그룹에 의해 필터링된 포트를 통해 내 서버에 액세스할 수 있습니까???
답변1
AWS 보안 그룹은 EC2 인스턴스의 방화벽과 같으며, 보안 그룹 정책을 변경하지 않는 한 동일한 VPC 내의 AFAIK(및 테스트된) 2개의 시스템은 내부 네트워크의 포트를 볼 수 없습니다.
예를 들어
개인 IP 10.10.10.5/24를 사용하는 EC2 www.abc.com 개인 IP 10.10.10.6/24를 사용하는 EC2 www.hello.com
동일한 네트워크에 있지만 네트워크 10.10.10.0/24(또는 호스트 10.10.10.5, 10.10.10.6)에 대한 보안 그룹에 인바운드 규칙을 추가하지 않으면 포트 22를 볼 수 없습니다.
고려해 보시기 바랍니다이것, 보안 그룹 정책은 VPC가 아닌 EC2에 적용됩니다.
VPC에서 인스턴스를 시작할 때 인스턴스에 최대 5개의 보안 그룹을 할당할 수 있습니다. 보안 그룹은 서브넷 수준이 아닌 인스턴스 수준에서 작동합니다. 따라서 VPC의 서브넷에 있는 각 인스턴스는 서로 다른 보안 그룹 세트에 할당될 수 있습니다.
귀하의 질문과 관련하여 보안 그룹과 별도로 EC2 인스턴스에 방화벽(예: IPTable)이 필요합니까? 대답은 보안 구성에 소요되는 시간과 필요한 사항에 따라 달라집니다. 두 가지를 모두 갖는 것이 더 안전하고 서로 보완할 수 있습니다. IPTables(또는 다른 방화벽)를 사용하면 가능한 공격을 기록할 수 있으며 동적 추가도 가능합니다. 그러나 규칙에 따르면, 원하는 것이 단지 일부 포트를 차단하는 것이라면 보안 그룹 구성만 사용하겠습니다... 확인해야 합니다.이것