Help us understand the problem. What is going on with this article?

AWS セキュリティグループとネットワークACLの違い

はじめに

AWS VPC(仮想プライベートクラウド)では、次の3つの機能を使ってセキュリティを強化するが、セキュリティグループとネットワーク ACLの違いがわかりづらいため、違いについてまとめました。

  • セキュリティグループ
  • ネットワークアクセスコントロールリスト (ACL)
  • フローフラグ

セキュリティグループ

ステートフルなファイアウォールのこと。デフォルトで許可されているのは同じセキュリティグループ内通信のみ(外からの通信は禁止)。そのため例えば、WEB公開する場合はインターネット(0.0.0.0/0)から80ポートを許可する。

ネットワーク ACL

ステートレスなファイアウォールのこと。サブネット単位で適用され、デフォルトでは全ての送信元IPを許可する。
前後の状態に依存しないのがステートレス(stateless)で、前後の状態を保持しているのがステートフル(stateful)という意味

比較

image.png

セキュリティグループ ネットワーク ACL
EC2インスタンスレベルで効果
サブネットレベルで効果
AllowのみをIN・OUTで指定可能(ホワイトリスト型) Allow/DenyをIN・OUTで指定可能(ブラックリスト型)
ステートフルなので、戻りのトラフィックを考慮しなくてよい ステートレスなので、戻りのトラフィックも明示的に許可設定する
全てのルールを適用 番号の順序通りに適用
インスタンス管理者がセキュリティグループを適用すればその管理下になる サブネット内のすべてのインスタンスがACLの管理下に入る

参考

AWSユーザガイド セキュリティ

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした