Security Groups and Network ACLs

Область применения: подсеть или EC2 Instance

Группы безопасности привязаны к инстансу, в то время как сетевые списки ACL — к подсети. т. е. сетевые списки контроля доступа применимы на уровне подсети, поэтому любой инстанс в подсети с соответствующим NACL будет следовать правилам NACL. Это не относится к группам безопасности. Они должны быть явно назначены инстансу. Это означает, что правило применяется ко всем инстансам в группе подсети. Если у вас есть много инстансов, управление файрволами с помощью Network ACL может быть очень полезно. В противном случае вам придется вручную назначить группы безопасности инстансам с помощью Security group.

Любые изменения, примененные в рамках Security groups правилу входящего трафика, будут автоматически применены к исходящему. Например, если вы откроете доступ на вход к порту 80, то автоматически будет открыт и выход на этом порте.

В случае с Network ACL все работает иначе. Если вы откроете порт 80 извне, вам также нужно будет создать правило и для исходящего трафика.

Правила: Allow или Deny

Security group поддерживают только разрешающие правила (Allow). Например, вы не можете запретить устанавливать соединение с определенного IP-адреса.

Network ACL позволяет как разрешать, так и запрещать. Например, можно заблокировать установление соединения с инстансом EC2 с IP-адрес 123.123.123.123.

Порядок исполнения правил

В Security group все правила безопасности применяются сразу, тогда как в NACL они исполняются по порядку (первым срабатывает то правило, у которого меньше номер).

Таким образом, Security group — это первый уровень защиты, а Network ACL относится ко второму уровню.

Оставайтесь с нами в Telegram, Facebook, Twitter и VK.

Подписаться
Уведомление о
guest
0 Комментарий
Inline Feedbacks
View all comments