AWS - Network Firewall vs Security Group vs NACL

AWS에는 접근 제어를 위한 다양한 서비스들이 있다. 대표적으로 가장 먼저 접하는 것이 Security Group와 NACL 인데 2020년 하반기에 Network Firewall이 등장했다. 얼핏 보기에 3가지 서비스 모두 비슷한 목적을 가진 것으로 보이기에 어떤 차이가 있을지 궁금했다. 본 포스팅에서는 간략하게 3가지 서비스의 차이점에 대해 언급하겠다. 2021년 8월 기준이며 AWS 서비스는 계속해서 진화하기 때문에 '참고' 정도만 하길 바란다.

 

Network Firewall	Security Group	NACL
- Stateful & Stateless 패킷 필터링 지원 - IPS 기능 사용 가능 - VPC 간 트래픽 검사 가능 - 도메인 필터링 가능	- 인스턴스에 적용되는 정책 - Deny 모두 지원 - Stateful 패킷 필터링 - 등록된 규칙 내 우선순위는 없음	- 서브넷에 적용되는 정책 - Allow/Deny 모두 지원 - Stateless 패킷 필터링 - 등록된 규칙 내 우선순위에 따름 - 과다 등록 시 네트워크 성능 영향