피드로 돌아가기
Create and configure network security groups
Dev.toDev.to
Security

ASG와 NSG 결합을 통한 IP 독립적 Zero-Trust 네트워크 보안 체계 구축

Create and configure network security groups

Rahimah Sulayman2026년 5월 25일5beginner

Context

기존 IP 기반의 네트워크 필터링 방식은 서버 확장 시마다 규칙을 수정해야 하는 운영 오버헤드 발생. 다계층 아키텍처 내 프론트엔드와 백엔드 간 트래픽을 정밀하게 제어할 보안 계층 필요.

Technical Solution

  • Application Security Groups(ASG) 도입을 통한 VM 그룹화 및 네트워크 설정의 추상화 구현
  • NSG 규칙의 Source/Destination 설정 시 개별 IP 대신 ASG를 지정하여 논리적 그룹 단위의 트래픽 제어
  • 프론트엔드 서브넷의 외부 접근 허용과 백엔드 서브넷의 내부 접근 제한을 분리한 계층적 보안 설계
  • SSH 서비스 전용 Inbound Rule(Priority 100) 설정을 통한 관리자 접근 제어 및 공격 표면 최소화
  • VM 인터페이스와 ASG의 동적 매핑을 통한 인프라 확장 시 보안 규칙 자동 적용 구조 확보

1. IP 기반의 정적 규칙 대신 ASG와 같은 논리적 그룹핑을 사용하여 설정 오류 방지 및 관리 효율성 검토

2. 최소 권한 원칙(Principle of Least Privilege)에 따라 서비스별 전용 포트와 우선순위(Priority) 설정 여부 확인

3. 서브넷 단위 NSG 적용과 개별 VM 인터페이스 적용의 계층적 보안 모델 설계 검토

원문 읽기