[ANS]5. 연결(1)

9. 연결제어 1: VPC 통제 3요소

 AWS 서비스가 네트워크 인터페이스를 사용하면서 보안그룹, NACL,  라우팅 테이블의 통제 영역에 있으면 VPC 네트워킹을 사용한다고 말한다. 그리고 네트워크 인터페이스의 존재만으로 VPC 네트워킹 사용을 확신할 수 있다.

여기서 말하는 3가지 통제(보안 그룹, NACL, 라우팅 테이블) 가 VPC 통제 3요소로서 네트워크 인터페이스를 보호(접근제어)하고 트래픽의 방향을 안내한다. 

9.1 접근제어: 보안 그룹과 네트워크 ACL

접근제어(Access Control) 는 컴퓨팅 서비스를 보호하는 안전 장치다.쉽게 말해 트래픽만 허용하고 불필요하면 차단한다. 

VPC 에서는 보안 그룹과 네트워크 ACL이 방화벽 역할을 한다. 

1) 접근 제어 방식 비교(1) : whitelist vs Blacklist

- Whitelist 방식:  모든 트래픽을 기본 차단한 상태에서 접속이 필요한 트래픽만 선별적으로 허용한다.
  모두 거부 규칙을 최하단에 놓고 상단에 허용과 거부 규칙을 혼합 배치한다.

- Blacklist 방식: 모든 트래픽을 허용해 놓고 거부할(블랙) 트래픽만 선별해서 차단하는 방식                                                    모두 허용 규칙을 최하단에 놓고 상단에 허용과 거부 규칙을 혼합 배치한다.

2) 표면적 특징과 다중 연결성

* 보안 그룹(SG)의 특징
-  SG의 패런트는 VPC 이다.
- SG의 연결 대상은 ENI 이며, 수명 주기 동안 다른 ENI 에 연결할 수 있다. 또 어떤 ENI에도 연결하지 않은 상태로 존재할 수 있따.
- 반대로 컴퓨팅 ENI 는 수명 주기 동안 반드시 SG와 연결되 있어야 한다. 다시말해 컴퓨팅 서비스 생성 시점에 SG를 지정해야 한다. 
- 기본 VPC를 포함한 모든 VPC가 생성될 때, 기본 SG도 함께 생성된다. 따라서 SG 와 VPC의 개수는 같다.

3) 규칙의 형태

 SG의 연결 대상은 ENI 이다. SG를 ENI 에 연결한다는 것은 ENI 에서 나가거나 들어오는 트래픽을 SG로 통제한다는 뜻이다. 그러므로 트래픽이 ENI로 들어올땐 SG 규칙에 목적지가 필요없고, ENI 에서 나갈 땐 출발지가 필요 없다. 출발지와 목적지가 모두 ENI의 IP이기 때문이다. 

4) 소스/ 대상에 SG 허용

SG는 인바운드와 아웃바운드 규칙을 별도로 둬, 서비스에 드나드는 모든 트래픽을 통제한다. 

SG 소스와 대상에 SG를 지정하면 규칙관리가 편하며, 단순한 규칙만으로 다량의 IP를 허용할 수 있다. 

5) NACL - 표면적 특징과 다중 연결성 

NACL 은 VPC의 보안 통제 3요소 중 하나로 서브넷을 통과하는 트래픽 접근을 제어한다. 

* NACL의 특징
- NACL 의 패런트는 VPC이다.
- NACL의 연결 대상은 서브넷이며 수명 주기 동안 다른 서브넷에 연결할 수 있다. 또 어떤 서브넷에도 연결하지 않은 상태로 존재할 수 있다.
- 반대로 서브넷은 수명 주기 동안 반드시 NACL 과 연결되 있어야한다. 서브넷은 단 하나의 NACL을 사용하지만 다른 NACL로 바꿔 사용할 수 있다.
- 기본 VPC를 포함한 모든 VPC가 생성될 때 기본 NACL도 함께 생성된다. 따라서 기본 NACL과 VPC 개수는 같다.
- 서브넷 생성 단계에서 서브넷에 연결할 NACL을 지정할 수 없다. 서브넷을 생성하면 무조건 기본 NACL에 자동 연결된다. 

6) NACL- 규칙의 형태 

 NACL 의 기본 규칙 형태는 화이트 기반 결합 방식이다. 

NACL 은 클라이언트 정보를 저장하지 않고(Stateless) 규칙을 허용한다. 

7) SG vs NACL

	보안그룹(SG)	네트워크 ACL
연결(통제)대상	네트워크 인터페이스	서브넷
다중 연결성	1:N, N:1	1:N
접근제어방식	화이트리스트	블랙기반, 화이트기반
허용/거부	허용	허용 또는 거부
규칙번호	x (없음)	o 있음
상태저장	저장	비저장
소스/대상 허용	SG허용가능	NACL 허용 불가

9.2 경로 제어 : 라우팅 테이블

경로제어: 트래픽이 가는 방향을 안내하는 이정표다. 

1) 라우팅이란?

최종 목적지와 그 방향이 기록되어 있는것 이 트래픽을 라우팅이라고 한다.

트래픽은 라우팅에 명시된 목적지와 방향을 보고 다음 장소로 이동한다.

AWS에서는 목적지를 대상이라하고 방향을 타깃 또는 게이트웨이라한다. Next Hop 으로 쓸때도 있다. 대상과 타깃으로 구성된 이 라우팅은 라우팅 테이블에 쌓여 트래픽에게 경로를 안내한다. 

2) 반환 트래픽의 라우팅

정상적으로 통신이 되지 않을 때, 우리는 이것을 반환 트래픽 또는 응답 트리팩이라 한다. 

5) IGW

IGW를 활용하면 인터넷으로 아웃바운드를 보내거나 인터넷에서 들어오는 인바운드 요청을 직접 수신할 수 있다. 이렇게 양방향 요청이 가능한 서브넷을 퍼블릭서브넷이라 한다. 

사용자 정보가 담긴 데이터베이스는 높은 보안 수준으로 관리해야하고, 미인증 사용자가 직접 접근할 수 없어야 하므로, 프라이빗 서브넷이라고 한다. 

6) NAT G/W

프라이빗 인스턴스가 인터넷에 접속하려면? NAT G/W를 경유해 인터넷에 접속한다.

* NAT G.W 특징
- NAT G/W 소스 IP 변환이 주목적이다. 퍼블릭 유형과 프라이빗 유형이 있다.
- 퍼블릭 유형은 프라이빗 IP만 소유한 서비스가 인터넷 접속이 필요할 때 사용하고, 프라이빗 유형은 인터넷 접속과 관계없이 소스 주소 변환의 목적으로만 사용한다.
- NAT 게이트웨이의 패런트는 서브넷이다. 
- NAT 게이트웨이는 라우팅 ENI를 사용하는 서비스다.

7) 정리

- VPC 통제 3요소는 네트워크 인터페이스를 보호(접근제어)하고 트래픽의 방향을 안내(경로 제어)한다. SG 와 NACL 이 접근제어를 담당하고, 라우팅 테이블은 경로 제어를 담당하고 있다.

- SG는 화이트 리스트 방식을 사용하고 NACL은 결합 방식을 사용한다. 특히 NACL은 화이트 기반 결합 또는 블랙 기반 결합 방식을 모두 구현할 수 있다.

- SG는 화이트 리스트 방식을 사용하고 NACL은 결합 방식을 사용한다. 특히 NACL은 화이트 기반 결합 또는 블랙 기반 결합 방식을 모두 구현할 수 있다.

- 라우팅은 트래픽의 목적지(대상)와 그 방향(타깃)으로 구성된다. 타깃을 게이트웨이라고 도한다.

- 퍼블릭 IP나 탄력적 IP에 대한 NAT 테이블은 NAT게이트웨이가 아닌 IGW가 소유하고 있다. NAT게이트웨이는 VPC서비스의 프라이빗 IP를 소스로 변환해 전송할 뿐이다.

- 퍼블리과 프라이빗 서브넷 여부는 라우팅 타깃의 IGW지정 유무로 구분한다.

- 트래픽이 라우팅을 선택할 때 Longest Prefix Match기법을 사용한다. 라우팅 테이블에서 트래픽 목적지를 찾지 못하면 트래픽은 소멸된다.

- 인터넷을 타깃으로 지정한 기본 게이트웨이 라우팅은 반드시 필요할 때만 사용해야 한다.