IBM Cloud Docs
VPC 보안

VPC 보안

보안 그룹을 사용하여 네트워크 트래픽을 제어하거나, 네트워크 액세스 제어 목록(ACL)을 사용하거나, 두 가지 유형의 제어를 모두 사용하여 IBM Cloud® Virtual Private Cloud 및 워크로드 보안을 유지할 수 있습니다.

보안 개요

보안 그룹 및 액세스 제어 목록(ACL)은 사용자가 지정한 규칙을 사용하여 IBM Cloud® Virtual Private Cloud의 서브넷 및 인스턴스 사이에서 트래픽을 제어하는 방법을 제공합니다. 보안 그룹 및 ACL은 서브넷 및 인스턴스에 보안을 추가합니다.

  • 서브넷의 트래픽은 액세스 제어 목록(ACL)을 통해 제어할 수 있습니다.
  • 보안 그룹은 가상 서버 인스턴스 레벨에서 트래픽을 제어할 수 있습니다.
  • 인터넷에 대한 서브넷 액세스의 경우 ACL로 보호되는 퍼블릭 게이트웨이를 설정할 수 있도록 합니다.
  • SG로 보호되는 인터넷에 대해 가상 서버 인스턴스 액세스를 위한 유동 IP를 구현할 수 있도록 합니다.

IBM Cloud Internet Services(CIS) 을 사용하여 VPC를 구성하는 경우 VPC에서 CIS (허용 목록) 을 통해서만 트래픽을 허용하여 DDoS 공격을 방지할 수 있습니다. Network ACL 및 보안 그룹을 허용 목록 CIS 트래픽으로 설정하십시오.

Figure showing how a VPC can be subdivided with subnets
IBM VPC connectivity and security

정의

다음 절에서는 ACL 및 보안 그룹의 기본 기능과 VPC에서 엔드-투-엔드 암호화를 지원하는 방법에 대해 설명합니다.

액세스 제어 목록

**액세스 제어 목록(ACL)**은 서브넷에 대한 인바운드 및 아웃바운드 트래픽을 관리(허용 또는 거부)할 수 있습니다. ACL은 Stateless이며, 이는 인바운드 및 아웃바운드 규칙을 개별적으로 및 명시적으로 지정해야 함을 의미합니다. 각각의 ACL은 소스 IP, 소스 포트, 대상 IP, 대상 포트프로토콜을 기반으로 한 규칙으로 구성되어 있습니다.

모든 VPC에는 모든 인바운드 및 아웃바운드 트래픽을 허용하는 기본 ACL이 포함되어 있습니다. 기본 ACL 규칙을 편집하거나 사용자 정의 ACL을 작성하여 서브넷에 연결할 수 있습니다. 서브넷에는 한 번에 하나의 ACL만 연결되지만, 하나의 ACL은 여러 서브넷에 연결될 수 있습니다. ACL을 사용하는 방법에 대한 자세한 정보는 네트워크 ACL 설정을 참조하십시오.

보안 그룹

보안 그룹은 하나 이상의 가상 서버 인스턴스에 대한 트래픽을 제어하는 가상 방화벽으로 작동합니다. 보안 그룹은 연관된 인스턴스에 대해 트래픽을 허용할 것인지 또는 거부할 것인지 여부를 지정하는 규칙의 콜렉션입니다.인스턴스를 하나 이상의 보안 그룹과 연관시키고 보안 그룹 규칙을 편집할 수 있습니다. 자세한 정보는 보안 그룹 사용을 참조하십시오.

보안 그룹 및 액세스 제어 목록 비교

표 1에는 보안 그룹과 ACL 간의 몇 가지 주요 차이점이 요약되어 있습니다.

보안 그룹과 ACL의 차이점
보안 그룹 ACL
제어 레벨 가상 서버 인스턴스 서브넷
상태 Stateful - 인바운드 연결이 허용되는 경우 응답이 허용됨 Stateless - 인바운드 및 아웃바운드 연결이 모두 명시적으로 허용되어야 함
지원되는 규칙 허용 규칙만 사용 허용 및 거부 규칙 사용
규칙이 적용되는 방법 모든 규칙이 고려됨 규칙이 순서대로 처리됨
연관된 리소스와의 관계 하나의 인스턴스가 복수의 보안 그룹과 연관될 수 있음 복수의 서브넷이 동일한 ACL과 연관될 수 있음

엔드투엔드 암호화

IBM Cloud VPC에서 엔드 투 엔드 암호화를 제공하진 않지만 이를 허용합니다. 예를 들어 가상 서버 인스턴스(예: 포트 443의 HTTPS 서버)에 보안 엔드포인트가 있는 경우 해당 인스턴스에 유동 IP를 연결하면 해당 연결은 클라이언트에서 포트 443의 서버로 엔드 투 엔드 암호화됩니다. 경로의 어떤 것도 복호화를 강제 실행할 수 없습니다. 그러나 포트 80에서 HTTP와 같이 보안되지 않은 프로토콜을 사용하면 데이터가 엔드 투 엔드로 암호화되지 않습니다.

애플리케이션에 엔드-투-엔드 암호화가 필요한 경우 해당 연결을 엔드-투-엔드로 암호화하는 것은 사용자의 책임입니다.