EC2를 띄우고 Security Group만 설정했는데, 같은 Subnet의 다른 인스턴스에서 접근이 됩니다. 반대로 NACL에서 차단했더니 응답 트래픽까지 막혀서 서비스가 중단됐습니다. 두 계층의 동작 방식을 정확히 이해하지 않으면 이런 상황이 반복됩니다.요약기준Security GroupNACL (Network ACL)적용 대상ENI (인스턴스/서비스 단위)Subnet 단위상태 추적Stateful (응답 자동 허용)Stateless (인바운드/아웃바운드 각각 규칙 필요)규칙 유형허용만 가능 (Allow only)허용 + 거부 모두 가능 (Allow / Deny)규칙 평가모든 규칙을 평가하여 허용 여부 결정번호 순서대로 평가, 첫 매칭에서 중단기본 동작모든 인바운드 차단, 모든 아웃바운드 허용기본 NAC..

Private Endpoint는 Azure PaaS 서비스(Storage, SQL Database 등)에 VNet 내부 사설 IP로 접근하게 해주는 네트워크 인터페이스입니다. 트래픽이 공용 인터넷을 경유하지 않으므로 데이터 노출 위험을 줄일 수 있습니다.핵심 요약Private Endpoint는 Azure PaaS 서비스를 VNet 내부의 사설 IP 주소로 매핑하는 네트워크 인터페이스(NIC)입니다.트래픽은 Azure 백본 네트워크 안의 Private Link를 통해 전달되며, 공용 인터넷을 경유하지 않습니다.Service Endpoint와 달리, PaaS 서비스에 VNet 내부 사설 IP가 부여되고 온프레미스에서도 접근할 수 있습니다.정상 동작을 위해서는 Private DNS 연동이 핵심입니다. DNS ..

NSG와 ASG는 "둘 중 하나를 고르는" 관계가 아닙니다. NSG는 트래픽을 허용/차단하는 규칙이고, ASG는 그 규칙의 출발지·목적지를 IP 대신 역할 그룹으로 표현하는 도구입니다. ASG는 NSG 규칙 안에서만 동작합니다.핵심 요약NSG(Network Security Group): 인바운드/아웃바운드 트래픽을 5-튜플(출발지, 출발지 포트, 목적지, 목적지 포트, 프로토콜)로 필터링하는 방화벽 규칙 집합입니다.ASG(Application Security Group): VM의 NIC를 역할별로 묶는 논리적 그룹입니다. NSG 규칙에서 IP/CIDR 대신 그룹 이름을 출발지·목적지로 지정할 수 있게 해줍니다.둘은 대체재가 아닙니다. ASG는 단독으로 트래픽을 막지 못하며, 반드시 NSG 규칙 안에서 참..

Public Subnet과 Private Subnet의 차이는 Subnet 자체의 속성이 아니라, Route Table에 Internet Gateway 경로가 있는지 여부로 결정됩니다.핵심 요약기준Public SubnetPrivate Subnet인터넷 접근직접 가능 (IGW 경로)직접 불가 (NAT Gateway 필요)외부 노출Public IP로 인바운드 가능외부에서 직접 접근 불가비용IGW 자체 무료NAT Gateway 시간당 + 데이터 전송 비용보안 수준노출 면적이 넓음노출 면적이 좁음배치 대상ALB, Bastion, NAT Gateway애플리케이션 서버, DB, 내부 서비스1. 비교 대상 개요실무 상황EC2 인스턴스를 하나 띄웠는데, 외부에서 SSH로 바로 접속이 됩니다. 보안팀에서 "왜 DB 서버..