📅 Day 14 | AWS NACL — AWS의 서브넷 수준 보안 🔐

발행: 16시간 전 (2025년 12월 13일 오전 02:56 GMT+9)

5 min read

Source: Dev.to

개요

서브넷 수준 방화벽 – 개별 EC2 인스턴스가 아니라 서브넷에 연결됩니다.
무상태(stateless) – 인바운드와 아웃바운드 규칙이 독립적으로 평가되며, 반환 트래픽을 명시적으로 허용해야 합니다.
ALLOW 및 DENY 규칙 지원 – 규칙 순서가 중요합니다(숫자가 낮은 것이 먼저 평가됨).
기본 NACL – 모든 트래픽을 허용합니다.
사용자 정의 NACL – 명시적으로 허용하지 않으면 모든 트래픽을 차단합니다.

주요 기능

기능	설명
보호 계층	퍼블릭 및 프라이빗 서브넷(예: 웹 서버, 데이터베이스, EKS 노드)을 보호합니다.
무상태 필터링	양방향 통신을 위해 인바운드와 아웃바운드 규칙이 모두 일치해야 합니다.
규칙 유형	ALLOW와 DENY 항목을 모두 사용할 수 있습니다.
규칙 우선순위	규칙 번호가 낮은 순서대로 처리됩니다(예: 100 → 101 → 102…).
기본 동작	기본 NACL은 모든 트래픽을 허용하고, 사용자 정의 NACL은 기본적으로 차단합니다.

NACL 작동 방식

첨부 – NACL은 하나 이상의 서브넷에 연결됩니다.
무상태 특성 – 포트에 대한 인바운드 트래픽을 허용하면, 응답 트래픽을 위한 아웃바운드 규칙도 별도로 생성해야 합니다.
규칙 평가 – 트래픽과 일치하는 첫 번째 규칙(규칙 번호 기준)이 동작을 결정합니다.
기본 vs. 사용자 정의 – 기본 NACL은 모든 트래픽을 허용하고, 사용자 정의 NACL은 원하는 트래픽을 명시적으로 허용해야 하며 나머지는 암묵적으로 차단됩니다.

예시 시나리오

퍼블릭 서브넷

리소스	허용 트래픽
EC2 웹 서버	HTTP(80), HTTPS(443), SSH(22)
Application Load Balancer	위와 동일

프라이빗 서브넷

리소스	허용 트래픽
애플리케이션 서버	데이터베이스로의 내부 트래픽(3306)
데이터베이스	앱 서브넷에서 3306 포트 트래픽 허용
EKS 워커 노드	서브넷 내 노드 간 통신
참고	직접 인터넷 접근 불가; 모든 인바운드/아웃바운드 트래픽이 필터링됩니다.

보안 그룹과의 비교

항목	보안 그룹	NACL
범위	인스턴스 수준	서브넷 수준
상태 유지	상태 유지(반환 트래픽 자동 허용)	무상태(반환 트래픽을 명시적으로 허용해야 함)
규칙 유형	ALLOW만 가능	ALLOW와 DENY 모두 가능
관리	인스턴스별 규칙 관리가 간단	서브넷 수준 고급 제어에 유용

샘플 규칙 집합

규칙 번호	방향	프로토콜	포트 범위	출발지/목적지	동작
100	인바운드	TCP	80	0.0.0.0/0	ALLOW
110	인바운드	TCP	443	0.0.0.0/0	ALLOW
120	인바운드	TCP	22	0.0.0.0/0	ALLOW
1000	아웃바운드	ALL	ALL	0.0.0.0/0	ALLOW
*	*	*	*	*	DENY (암묵적)

팁: vpc_id, CIDR 블록 및 규칙 번호를 환경에 맞게 조정하세요.

Terraform 예시

resource "aws_network_acl" "public_nacl" {
  vpc_id = aws_vpc.main.id
  tags = {
    Name = "public-nacl"
  }
}

resource "aws_network_acl_rule" "allow_http_in" {
  network_acl_id = aws_network_acl.public_nacl.id
  rule_number    = 100
  egress         = false
  protocol       = "6"   # TCP
  rule_action    = "allow"
  cidr_block     = "0.0.0.0/0"
  from_port      = 80
  to_port        = 80
}

resource "aws_network_acl_rule" "allow_https_in" {
  network_acl_id = aws_network_acl.public_nacl.id
  rule_number    = 110
  egress         = false
  protocol       = "6"
  rule_action    = "allow"
  cidr_block     = "0.0.0.0/0"
  from_port      = 443
  to_port        = 443
}

resource "aws_network_acl_rule" "allow_ssh_in" {
  network_acl_id = aws_network_acl.public_nacl.id
  rule_number    = 120
  egress         = false
  protocol       = "6"
  rule_action    = "allow"
  cidr_block     = "0.0.0.0/0"
  from_port      = 22
  to_port        = 22
}

resource "aws_network_acl_rule" "allow_all_out" {
  network_acl_id = aws_network_acl.public_nacl.id
  rule_number    = 1000
  egress         = true
  protocol       = "-1"  # all protocols
  rule_action    = "allow"
  cidr_block     = "0.0.0.0/0"
  from_port      = 0
  to_port        = 0
}

참고 자료 및 추가 읽을거리

GitHub 저장소:
Dev.to 블로그 포스트:
LinkedIn 기사:
이력서(Google Drive): (선택 사항)

📅 Day 14 | AWS NACL — AWS의 서브넷 수준 보안 🔐

개요

주요 기능

NACL 작동 방식

예시 시나리오

퍼블릭 서브넷

프라이빗 서브넷

보안 그룹과의 비교

샘플 규칙 집합

Terraform 예시

참고 자료 및 추가 읽을거리

관련 글

마스터 매크로: 당신만의 경제 플레이북

마인드의 눈 패브릭

개발자를 위한 AWS: 가이드

Full-Stack Dev & AI: 멈출 수 없는 레버리지를 위한 로드맵