이번 주는 네트워크가 보안의 첫 방어선이라는 사실에서 출발했다. IAM이 "누가 무엇을 할 수 있는가"를 다룬다면, 네트워크는 그 이전에 "애초에 누가 어디까지 닿을 수 있는가"를 결정한다. 도달할 수 없으면 공격할 수 없다. 한 주 동안 본 네 가지 — VPC 설계, SG/NACL, Flow Logs, 프라이빗 연결 — 은 따로 떨어진 주제가 아니다. 하나의 방어 체계를 네 각도에서 본 것이다.
오늘은 이 넷을 하나의 시나리오에 녹여 통합 복습한다. 시험에서 마주칠 복합 문제는 거의 항상 여러 계층을 동시에 묻는다. "RDS가 인터넷에 노출됐다"는 한 문장 안에 라우팅, SG, NACL, Public IP가 모두 들어 있다. 계층을 분리해 사고하는 훈련이 합격선이다.
요청 → [라우팅 테이블] 경로 없으면 도달 불가 (암묵적 차단)
[NACL 인바운드] 서브넷 경계, stateless, Deny 가능, 번호순
[보안 그룹 인바운드] ENI, stateful, Allow만, 종합 평가
[리소스] 처리
── 모든 흐름은 [Flow Logs]가 메타데이터로 기록 ──
외부 통신은 [NAT] 또는 [VPC Endpoint]로
[Endpoint Policy + 버킷 정책] 데이터 경계 강제