보안 그룹
카카오클라우드 보안 그룹은 가상의 방화벽과 같이 동작하여 송수신되는 트래픽을 인스턴스 레벨에서 제어할 수 있게 하는 기능입니다. 인스턴스를 생성할 때 자동 생성되는 기본 네트워크 인터페이스에 보안 그룹을 설정할 수 있으며, 네트워크 인터페이스를 별도로 생성할 때에도 설정할 수 있습니다. 베어 메탈 인스턴스 유형을 제외한 모든 인스턴스 유형에서는 네트워크 인터페이스별로 반드시 1개 이상의 보안 그룹을 설정해야 합니다.
보안 그룹은 크게 인바운드 규칙 및 아웃바운드 규칙으로 구분되며, 각각의 규칙을 설정하여 트래픽을 제어할 수 있습니다. 규칙은 프로토콜, 출발지 또는 목적지 주소의 CIDR 범위, 포트 번호로 구성되며, 사용자의 보안 요구 사항에 맞춰 적절한 보안 그룹 규칙이 설정되어야 합니다.
보안 그룹 작동 방식
보안 그룹의 작동 방식은 다음과 같습니다.
작동 방식 | 설명 |
---|---|
화이트리스트 기반 | 보안 그룹은 기본적으로 규칙에 설정되지 않은 모든 트래픽을 거부(Deny)하며 별도의 거부 규칙을 설정할 수 없습니다. 명시적으로 설정된 규칙을 허용(Allow)하는 형태로 작동합니다. |
상태 관리 | 보안 그룹은 상태 저장형(Stateful)으로 작동됩니다. 즉, 요청(Request) 패킷에 대한 응답(Response) 트래픽은 규칙 설정과 무관하게 자동으로 허용되며, 반대의 경우도 마찬가지로 자동으로 허용됩니다. |
다중 인스턴스/네트워크 인터페이스 연결 지원 | 하나의 보안 그룹을 여러 개의 인스턴스 및 네트워크 인터페이스에 적용할 수 있습니다. |
다중 보안 그룹 연결 지원 | 다수의 보안 그룹을 하나의 인스턴스 또는 네트워크 인터페이스에 적용할 수 있습니다. |
다중 보안 그룹 복사 기능 지원 | 보안 그룹을 복사하여 동일한 인바운드및 아웃바운드 규칙을 가진 여러 보안 그룹을 빠르게 생성할 수 있습니다. |
보안 그룹 기본 사항
- 보안 그룹은 화이트리스트 방식으로 동작하며, 규칙에 정의되지 않은 모든 트래픽은 기본적으로 거부됩니다.
- 보안 그룹은 상태 저장 방식으로 동작합니다.
- 보안 그룹의 규칙을 추가, 삭제, 갱신할 경우, 이 변경 사항은 연결되어 있는 모든 리소스에 자동으로 적용됩니다. 단, 기존 연결에 대한 시간이 초과될 때까지 패킷이 허용된 이후 반영됩니다.
- 프로젝트당 생성할 수 있는 보안 그룹의 개수, 각 보안 그룹에 설정 가능한 규칙의 개수 등에는 할당량(Quota) 제한이 있습니다. 자세한 설명은 서비스 요금 및 쿼터 문서를 참고해 주세요.