네트워크 접근을 제어, 관리
인터넷 서비스가 활발해지면서 여러 보안 위협이 발생하고 있으며, 이에 대응하기 위해 다양한 방어 방법을 제공하고 있습니다. ACG는 서버 그룹에 대한 네트워크 접근을 제어, 관리할 수 있는 서비스입니다. 고객이 개별적으로 방화벽을 구축할 필요 없이 ACG에 서버 그룹별로 방화벽 규칙을 설정하면 인프라 보안 정책을 손쉽고 효율적으로 적용할 수 있습니다.
- 서버 그룹에 대한 보안 정책 일괄 관리
- 서버마다 호스트 방화벽(iptables, UFW 등)을 설정할 필요 없이 다수의 서버에 대한 네트워크 접근 제어를 일괄로 설정할 수 있어, 신속한 보안 정책 적용 및 효율적인 운영이 가능합니다.
- 설정된 보안 규칙 재사용 가능
- 서비스 확장 시 기존에 설정한 ACG(Access Control Group) 규칙을 재사용할 수 있어, 편리하게 보안 정책을 확대 적용할 수 있습니다.
- 쉽고 간편한 규칙 설정
- 방화벽 보안 규칙 설정 변경을 위해 서버에 직접 접근하지 않고도 웹 기반의 콘솔에서 ACG Rule 변경 기능으로 서버에 접속을 허용할 인바운드 트래픽 규칙(inbound rule)을 안전하고 편리하게 추가, 변경, 삭제할 수 있습니다.
대외 인터넷 회선이나 내부의 다른 서버에서 해당 서버로 들어오는
인바운드 트래픽에 대해 IP 주소와 포트 단위로 접근을 제어할 수 있습니다.
기본적으로 서버에서 외부로 나가는 아웃바운드 트래픽은 모두 허용되나,
외부에서 서버로 들어오는 인바운드 트래픽은 ACG Rule에 허용된 접근을 제외하고는 모두 차단됩니다.
웹 기반의 콘솔을 이용한 ACG 설정
웹 기반의 콘솔에서 다음의 절차로 쉽게 ACG를 설정할 수 있습니다.
- 1) 콘솔 접속: 포털에 로그인해 콘솔에 접속합니다.
- 2) ACG 생성: ACG 메뉴의 [ACG 생성]에서 ACG 이름을 입력합니다.
(또는 서버 생성 절차 중 “4단계. 방화벽 설정”에서 신규 ACG를 생성하거나 보유하고 있는 ACG가 있다면 선택할 수 있습니다) - 3) ACG 설정: 프로토콜, 접근 소스, 허용 포트를 추가하고 적용합니다.
- 4) ACG 규칙 보기: 각 ACG에 설정한 규칙을 확인할 수 있습니다.
- 5) ACG 삭제: ACG를 삭제할 수 있습니다. 단, 해당 ACG가 적용된 서버가 1대라도 있으면 삭제할 수 없습니다.
ACG Rule 종류
네트워크 보안을 강화하려면 서버 생성 시 방화벽(ACG) 설정이 필수입니다. ACG는 구분 가능한 이름을 가지며, 각각에 설정된 규칙을 가지고 있는 개체(instance)입니다. 편리한 ACG 서비스 이용을 위해 기본 ACG Rule(Default ACG)을 제공합니다. 서비스 용도에 따른 별도의 방화벽 설정이 필요한 경우에는 고객이 직접 ACG Rule을 설정해 적용할 수 있습니다(Custom ACG).
| 유형 | 내용 | 세부 내용 |
|---|---|---|
| Default ACG | 각 계정마다 기본으로 생성돼 있는 ACG | · 모든 인바운드 트래픽을 차단함 · 모든 아웃바운드 트래픽을 허용함 · ACG 그룹에 속한 서버끼리의 네트워크 통신이 허용됨 |
| Custom ACG | 고객이 자체적으로 생성한 ACG | · 모든 인바운드 트래픽을 차단함 · 모든 아웃바운드 트래픽을 허용함 |
ACG Rule 설정 항목
| 구분 | 설정 방법 | 예시 |
|---|---|---|
| 프로토콜 | TCP, UDP, ICMP 중 선택 | |
| 접근 소스 | IP 주소 또는 ACG이름으로 지정 |
1) IP 주소
단일 IP 주소 또는 CIDR 형식으로 IP 주소 범위를 지정합니다. CIDR 주소를 입력할 때는 네트워크 주소를 입력하고 빗금(/)을 포함해 서브넷 비트를 입력합니다.
- 모든 IP 주소 대역을 포함한 인터넷 전체를 대상으로 허용하는 경우의 예: 0.0.0.0/0
- 단일 IP 주소를 지정하는 경우의 예: 92.168.10.1/32 또는 192.168.10.1 - CIDR 입력 시 표기 예(네트워크 주소/서브넷 비트): 192.168.77.0/24, 192.168.77.128/25, 192.168.77.192/26 |
| 2) ACG 이름 대상 ACG 그룹에 속한 개체 전체를 접근 소스로 지정합니다. | ||
| 허용포트 | TCP , UDP 중 선택 | TCP(1~65535까지의 허용 포트 범위 지정 가능) |
| UDP(1~65535까지의 허용 포트 범위 지정 가능) | ||
| ICMP(프로토콜 전체에 대한 허용여부 선택만 가능) |
ACG 사용 시 참고사항
각 계정당 최대 100개까지의 ACG 개체를 생성할 수 있으며, 각 ACG 개체마다 최대 100개의 규칙(rule)을 설정할 수 있습니다.
ACG Rule 설정 예제
| 예제 | 프로토콜 | 접근소스 | 허용포트 |
|---|---|---|---|
| 특정 IP 주소에서 SSH 서비스로 접근을 허용 | TCP | 192.168.77.17 | 22 |
| 특정 IP 주소 대역에서 SSH 서비스로 접근을 허용(1) | TCP | 192.168.77.0/24 | 22 |
| 특정 IP 주소 대역에서 SSH 서비스로 접근을 허용(2) | TCP | 192.168.77.128/25 | 22 |
| Test-ACG라는 이름을 가진 ACG 개체에 할당된 서버들 상호간의 SSH 접근을 허용 | TCP | Test-ACG | 22 |
| 로드밸런서용 ACG인 Ncloud-load-balancer를 소스로 설정해 로드밸런서 개체에서 바인딩된 실제 웹 서버로의 네트워크 접근을 허용 | TCP | Ncloud-load-balancer | 80 |
| 특정 IP 주소에서 UDP 22-1025 포트로 접근을 허용 | UDP | 192.168.77.17 | 22~1025 |
| 웹 서비스 포트인 80번 포트 접근에 대해서는 전체 허용 | TCP | 0.0.0.0/0 | 80 |