보안 그룹 설정 방법 (feat. Auto Scaling)

1. 데이터베이스 보안 설정

• DB 포트 개방 주의
  데이터베이스 포트를 불필요하게 열어두면 외부 공격에 노출되어 치명적인 보안 사고로 이어질 수 있다. 무분별하게 포트를 개방하지 말고, 반드시 보안 그룹을 활용해 접근을 엄격히 제한해야 한다.
• 보안 그룹을 통한 포트 제어
  데이터베이스에 접근할 때는 특정 IP나 서브넷에 한정해 포트를 열도록 설정한다. 이를 통해 같은 VPC 내의 모든 인스턴스가 아니라, 신뢰할 수 있는 범위의 트래픽만이 데이터베이스에 접근할 수 있다.

---

2. VPC 내부 통신과 보안 그룹

• VPC 내 통신
  같은 VPC에 있는 인스턴스는 기본적으로 네트워크 계층에서 통신이 가능하다. 그러나 “같은 VPC”와 “같은 보안 그룹”은 다른 의미를 가진다. 단순히 보안 그룹이 동일하다고 해서 자동으로 통신이 허용되는 것은 아니다. 각 보안 그룹은 자체 규칙에 따라 트래픽을 제어하며, 별도의 인바운드 규칙이 있어야 통신이 이루어진다.

---

3. 보안 그룹의 역할과 구성

• 기본 원칙
  보안 그룹은 인스턴스의 인바운드 및 아웃바운드 트래픽을 제어하는 방화벽 역할을 수행한다. 기본적으로 보안 그룹은 생성 시 모든 트래픽을 거부하며, 사용자가 명시적으로 허용 규칙을 추가해야 한다.
• 규칙 구성
  보안 그룹에는 여러 규칙을 설정할 수 있다. 여러 규칙 중 하나라도 만족하면 해당 트래픽은 허용된다. 다만, 적용할 수 있는 최대 규칙 수나 참조할 수 있는 다른 보안 그룹 수에는 제한이 있으므로, 설계 시 이를 고려해야 한다.
• 예시: 포트 22 제어
  SSH 접근을 위해 포트 22를 열 경우, 반드시 특정 IP 주소나 IP 범위만 허용하는 규칙을 설정해야 한다. 이를 통해 외부로부터 무차별적인 접근을 차단하고, 허용된 범위 내에서만 안전하게 관리할 수 있다.
• 설정 명칭 관리
  보안 그룹은 식별을 위해 이름(문자열)을 지정할 수 있다. 이름을 명확하게 지정하면 관리 시 혼동을 줄이고, 보안 정책의 유지 관리에 도움이 된다.

---

4. 오토스케일링과 보안 그룹

• 오토스케일링의 보안 적용
  오토스케일링은 서버를 자동으로 증설하거나 축소하는 기능으로, 늘어나는 인스턴스에도 반드시 보안 그룹 설정이 포함되어야 한다. 오토스케일링으로 인해 생성된 인스턴스의 IP는 기존 인스턴스와 다르므로, 보안 그룹 규칙이 IP 기반으로만 동작하도록 설정할 경우 문제가 발생할 수 있다.
• Security Group Chaining
  이러한 문제를 해결하기 위해 오토스케일링 그룹에 적용된 보안 그룹 자체를 다른 보안 그룹의 인바운드 규칙으로 참조할 수 있다. 이를 Security Group Chaining이라고 하며, 이를 통해 동적으로 늘어나는 인스턴스도 일관된 보안 정책 하에 관리할 수 있다.