보안 그룹

AWS VPCs에서 AWS 보안 그룹은 하나 이상의 스택(인스턴스 또는 인스턴스 세트)에 대한 트래픽을 제어하는 가상 방화벽 역할을 합니다. 스택이 시작되면 스택이 하나 이상의 보안 그룹과 연결되어 스택에 도달할 수 있는 트래픽이 결정됩니다.

퍼블릭 서브넷의 스택의 경우 기본 보안 그룹은 모든 위치(인터넷)의 HTTP(80) 및 HTTPS(443) 트래픽을 수락합니다. 또한 스택은 회사 네트워크의 내부 SSH 및 RDP 트래픽과 AWS 접속을 허용합니다. 그러면 이러한 스택이 모든 포트를 통해 인터넷으로 나갈 수 있습니다. 또한 프라이빗 서브넷과 퍼블릭 서브넷의 다른 스택으로 나갈 수도 있습니다.
프라이빗 서브넷의 스택은 프라이빗 서브넷의 다른 스택으로 송신할 수 있으며, 스택 내의 인스턴스는 모든 프로토콜을 통해 서로 완전히 통신할 수 있습니다.

중요

프라이빗 서브넷의 스택에 대한 기본 보안 그룹을 사용하면 프라이빗 서브넷의 모든 스택이 해당 프라이빗 서브넷의 다른 스택과 통신할 수 있습니다. 프라이빗 서브넷 내의 스택 간 통신을 제한하려면 제한을 설명하는 새 보안 그룹을 생성해야 합니다. 예를 들어 프라이빗 서브넷의 스택이 특정 포트를 통해서만 특정 애플리케이션 서버에서 통신할 수 있도록 데이터베이스 서버와의 통신을 제한하려면 특수 보안 그룹을 요청합니다. 이렇게 하는 방법은이 단원에서 설명합니다.

기본 보안 그룹

MALZ

다음 표에서는 스택의 기본 인바운드 보안 그룹(SG) 설정을 설명합니다. SG의 이름은 "SentinelDefaultSecurityGroupPrivateOnly-vpc-ID"이며, 여기서 ID는 AMS 다중 계정 랜딩 존 계정의 VPC ID입니다. 모든 트래픽은이 보안 그룹을 통해 "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly"로 아웃바운드할 수 있습니다(스택 서브넷 내의 모든 로컬 트래픽 허용).

모든 트래픽은 두 번째 보안 그룹 "SentinelDefaultSecurityGroupPrivateOnly"에 의해 0.0.0.0/0으로 아웃바운드할 수 있습니다.

작은 정보

EC2 생성 또는 OpenSearch 생성 도메인과 같은 AMS 변경 유형에 대한 보안 그룹을 선택하는 경우 여기에 설명된 기본 보안 그룹 중 하나 또는 생성한 보안 그룹을 사용합니다. AWS EC2 콘솔 또는 VPC 콘솔에서 VPC당 보안 그룹 목록을 찾을 수 있습니다.

내부 AMS용으로 사용되는 추가 기본 보안 그룹이 있습니다.

AMS 기본 보안 그룹(인바운드 트래픽)
Type	프로토콜	포트 범위	소스
모든 트래픽	모두	모두	SentinelDefaultSecurityGroupPrivateOnly(동일한 보안 그룹의 구성원으로의 아웃바운드 트래픽 제한)
모든 트래픽	모두	모두	SentinelDefaultSecurityGroupPrivateOnlyEgressAll(아웃바운드 트래픽을 제한하지 않음)
HTTP, HTTPS, SSH, RDP	TCP	80/443(소스 0.0.0.0/0) Bastion에서 SSH 및 RDP 액세스 허용	SentinelDefaultSecurityGroupPublic(아웃바운드 트래픽을 제한하지 않음)
MALZ 접속:
SSH	TCP	22	SharedServices VPC CIDR 및 DMZ VPC CIDR과 고객이 제공한 온프레미스 CIDRs
SSH	TCP	22
RDP	TCP	3389
RDP	TCP	3389
SALZ 접속:
SSH	TCP	22	mc-initial-garden-LinuxBastionSG
SSH	TCP	22	mc-initial-garden-LinuxBastionDMZSG
RDP	TCP	3389	mc-initial-garden-WindowsBastionSG
RDP	TCP	3389	mc-initial-garden-WindowsBastionDMZSG

SALZ

다음 표에서는 스택의 기본 인바운드 보안 그룹(SG) 설정을 설명합니다. SG의 이름은 "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly-ID"이며, 여기서 ID는 고유 식별자입니다. 모든 트래픽은이 보안 그룹을 통해 "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly"로 아웃바운드할 수 있습니다(스택 서브넷 내의 모든 로컬 트래픽 허용).

모든 트래픽은 두 번째 보안 그룹 "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnlyEgressAll-ID"에 의해 0.0.0.0/0으로 아웃바운드할 수 있습니다.

작은 정보

내부 AMS용으로 사용되는 추가 기본 보안 그룹이 있습니다.

AMS 기본 보안 그룹(인바운드 트래픽)
Type	프로토콜	포트 범위	소스
모든 트래픽	모두	모두	SentinelDefaultSecurityGroupPrivateOnly(동일한 보안 그룹의 구성원으로의 아웃바운드 트래픽 제한)
모든 트래픽	모두	모두	SentinelDefaultSecurityGroupPrivateOnlyEgressAll(아웃바운드 트래픽을 제한하지 않음)
HTTP, HTTPS, SSH, RDP	TCP	80/443(소스 0.0.0.0/0) Bastion에서 SSH 및 RDP 액세스 허용	SentinelDefaultSecurityGroupPublic(아웃바운드 트래픽을 제한하지 않음)
MALZ 접속:
SSH	TCP	22	SharedServices VPC CIDR 및 DMZ VPC CIDR과 고객이 제공한 온프레미스 CIDRs
SSH	TCP	22
RDP	TCP	3389
RDP	TCP	3389
SALZ 접속:
SSH	TCP	22	mc-initial-garden-LinuxBastionSG
SSH	TCP	22	mc-initial-garden-LinuxBastionDMZSG
RDP	TCP	3389	mc-initial-garden-WindowsBastionSG
RDP	TCP	3389	mc-initial-garden-WindowsBastionDMZSG

보안 그룹 생성, 변경 또는 삭제

사용자 지정 보안 그룹을 요청할 수 있습니다. 기본 보안 그룹이 애플리케이션 또는 조직의 요구 사항을 충족하지 않는 경우 새 보안 그룹을 수정하거나 생성할 수 있습니다. 이러한 요청은 승인 필수로 간주되며 AMS 운영 팀에서 검토합니다.

스택 및 VPCs 외부에서 보안 그룹을 생성하려면 Deployment | Advanced stack components | Security group | Create (review required) 변경 유형(ct-1oxx2g2d7hc90)을 사용하여 RFC를 제출합니다.

Active Directory(AD) 보안 그룹 수정의 경우 다음 변경 유형을 사용합니다.

사용자를 추가하려면: 관리 | 디렉터리 서비스 | 사용자 및 그룹 | 그룹에 사용자 추가 [ct-24pi85mjtza8k]를 사용하여 RFC 제출
사용자를 제거하려면: 관리 | 디렉터리 서비스 | 사용자 및 그룹 | 그룹에서 사용자 제거 [ct-2019s9y3nfml4]를 사용하여 RFC 제출

참고

'검토 필요' CTs를 사용하는 경우 ASAP 예약 옵션(콘솔에서 ASAP 선택, API/CLI에서 시작 및 종료 시간 비워 두기)을 사용하는 것이 좋습니다. 이러한 CTs는 AMS 운영자가 RFC를 검사하고 승인 및 실행 전에 사용자와 통신해야 하기 때문입니다. 이러한 RFCs 예약하는 경우 최소 24시간을 허용해야 합니다. 예정된 시작 시간 전에 승인이 이루어지지 않으면 RFC가 자동으로 거부됩니다.

보안 그룹 찾기

스택 또는 인스턴스에 연결된 보안 그룹을 찾으려면 EC2 콘솔을 사용합니다. 스택 또는 인스턴스를 찾은 후 스택 또는 인스턴스에 연결된 모든 보안 그룹을 볼 수 있습니다.

명령줄에서 보안 그룹을 찾고 출력을 필터링하는 방법은 섹션을 참조하세요describe-security-groups.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

end-of-support 운영 체제에 대한 보안 제어

예방 및 탐지 제어