はじめに
こんにちは。
この記事はGFAMアドベントカレンダー2021の2日目の記事です。
セキュリティグループ、ネットワークACLについてまとめてみました。
セキュリティグループとは
インスタンスに適用するファイアーウォールです。
インスタンス毎にセキュリティグループをアタッチして通信を制御します。
セキュリティグループの特徴
- インスタンス毎に複数のセキュリティグループを設定可能
- インバウントルール/アウトバウンドルールは、プロトコル、ポート範囲、送信元/送信先の設定項目で許可ルールを定義
- デフォルトはアウトバウンドが許可、インバウンドが拒否
- ステートフル制御。戻りのトラフィックを考慮しなくてもよい
- すべてのルールが適用される
- 設定項目が即座に反映される
ネットワークACLとは
サブネット単位で設定するファイアーウォールです。
サブネットに所属するインスタンス全てに適用されます。
ネットワークACLの特徴
- サブネットごとに1つのネットワークACLを設定可能
- インバウントルール/アウトバウンドルールは、プロトコル、ポート範囲、送信元/送信先の設定項目で許可または拒否ルールを定義
- デフォルトはアウトバウンド、インバウンドがすべて許可
- ステートレス制御。戻りのトラフィックも明示的に設定が必要
- ルール番号順に適用される
特徴の比較
セキュリティグループ | ネットワークACL | |
---|---|---|
適用範囲 | インスタンス | サブネット |
ルール定義 | 許可ルールのみ | 許可/拒否ルール |
デフォルト | アウトバウンド(許可) インバウンド(拒否) |
アウトバウンド(許可) インバウンド(許可) |
状態 | ステートフル | ステートレス |
ルールの評価 | すべてのルールが適用 | ルール番号順に適用 |
その他 | 設定項目が即座に反映 | - |
おわりに
今回はVPCのセキュリティグループ、ネットワークACLをまとめました。
セキュリティグループ、ネットワークACLの特徴を理解し、適切に適用していく必要があります。
次回はEC2について学習します。