2024. 8. 21. 12:24ㆍ클라우드/NCP
Network ACL(Network Access Control List)을 이용해 Subnet의 접근을 제어하고, Subnet 내 서버의 통신 보안은 ACG로 제어하여 강력한 네트워크 보안 체계를 구성할 수 있다.
ACG는 인바운드 및 아웃바운드 트래픽에 허용 규칙을 설정하여 서버의 트래픽을 제어
Network ACL은 서브넷 레벨에서 작동하며 인바운드 및 아웃바운드 트래픽에 대하여 허용 또는 차단 규칙을 적용
ACG 규칙 설정 화면 -> 허용
NACL 규칙 화면 -> 허용 / 차단
| Network ACL | ACG |
| Subnet 접근 시 작동 | 서버 접근 시 작동 |
|
|
| Stateless 방식: 트래픽 상태를 저장하지 않아 인바운드 규칙과 아웃바운드 규칙 별도 설정 필요 | Stateful 방식: 트래픽 상태를 저장해 인바운드 규칙에서 허용되는 트래픽은 아웃바운드 자동 허용 |
| 트래픽 허용 여부 결정 시 규칙을 우선순위로 처리 | 트래픽 허용 여부 결정 전 모든 규칙을 평가 |
| 대상 서브넷 내 모든 서버에 적용(ACG를 지정하는 사용자에게 의존할 필요 없음) | 서버 시작 시 보안 그룹을 지정하거나 나중에 보안 그룹을 인스턴스와 연결할 때만 적용 |
NACL 이 범위가 더 커서 마치 우선순위가 NACL이 높을 것 같지만 그렇지 않다.
NACL과 ACG(Access Control Group)의 규칙이 충돌하는 경우, 더 제한적인 규칙이 우선 적용됨.
NACL에서 차단했는데 차단이 안되기에 확인해보니 ACG에서 허용되고 있었던.. ㅜㅜ
*****우선순위 및 충돌 처리:
NACL이 더 제한적인 경우: NACL에서 트래픽을 차단했다면, ACG에서 해당 트래픽을 허용하더라도 트래픽이 차단됨. 예를 들어, NACL에서 특정 IP에 대해 트래픽을 차단하면, ACG에서 허용 규칙이 있더라도 해당 트래픽은 서브넷 레벨에서 차단된다.
ACG가 더 제한적인 경우: ACG에서 트래픽을 차단한 경우, NACL에서 해당 트래픽을 허용하더라도 인스턴스에 도달할 수 없다. 예를 들어, ACG에서 특정 포트에 대한 트래픽을 차단하면, NACL에서 허용하더라도 해당 트래픽은 인스턴스에서 차단된다.
*****NACL에서 차단했는데도 접속이 여전히 가능한 경우,확인해볼 사항
1. NACL 규칙의 우선순위 확인
NACL 규칙은 순서에 따라 평가됨. Deny 규칙이 Allow 규칙보다 우선되도록 규칙의 순서를 확인해야 함.
상위에 있는 Allow 규칙이 우선 적용되면 하위에 있는 Deny 규칙이 무시될 수 있다. Deny 규칙을 상위에 배치하거나 모든 Allow 규칙을 수정
2. IP 주소 확인
웹 사이트의 IP 주소가 정확하게 NACL 규칙에 반영되었는지 확인. DNS 확인을 통해 해당 도메인의 실제 IP 주소를 확인한 후, 이를 NACL 규칙에 반영했는지 점검.
3. 보안 그룹 설정 확인
NCP의 NACL은 네트워크 레벨에서 트래픽을 제어하지만, 보안 그룹(Security Group * NCP에서는 ACG라고 부름)은 인스턴스 수준에서 트래픽을 제어함.
해당 도메인에 대한 접근이 여전히 허용되고 있는지 보안 그룹 설정도 확인하고, 필요하다면 보안 그룹에서도 동일한 IP 또는 포트 차단
4. 캐시 및 DNS 문제
로컬 컴퓨터 또는 네트워크 장치의 DNS 캐시가 문제를 일으킬 수 있음. 캐시를 비우고 접속이 차단되는지 확인.
nslookup URL
명령어로 IP 주소를 확인한 후 이를 기반으로 차단 규칙을 다시 적용할 수 있음.
5. VPC 피어링 또는 VPN 연결 확인
VPC 간의 피어링 또는 VPN 연결이 있는 경우, 이러한 경로를 통해 우회하여 접속이 가능. 이 경우 해당 경로에서 트래픽을 차단할 방법을 고려하기.
6. Cloud DNS 또는 Application Gateway 설정 확인
Cloud DNS 또는 Application Gateway를 통해 트래픽이 우회되어 접근할 수 있는지 확인. 이 경우 해당 서비스에서도 적절한 차단 규칙을 설정해야 함.
'클라우드 > NCP' 카테고리의 다른 글
| ncp organization 탈퇴 및 파트너 해지 후 회원 탈퇴 과정 (0) | 2024.12.06 |
|---|---|
| NCP Flow log 적용 (2) | 2024.08.09 |
| nks 생성 및 노드 접속 (3) | 2024.08.01 |
| 서버 인증키(pem) 삭제 방법 및 API 인증키 생성 (2) | 2024.06.24 |
| ncp classic 환경에서는 centos밖에 사용할 수 없다 (0) | 2024.02.21 |