1.セキュリティグループとは?
・Amazon EC2 インスタンスに適用可能なAWS標準のファイアウォール機能であり、EC2インスタンスへのアクセスを"許可"したり、トラフィックを"制御"することができます。
2.注意点
- インバウンド:未設定の場合通信は全て遮断し、許可した通信のみを通過させます。 *デフォルトですべて拒否
- アウトバウンド:自動的にデフォルトのセキュリティグループが適用されます。 *デフォルトですべて許可
EC2インスタンス起動時にセキュリティグループを指定しなかった場合、インスタンスは自動的にこのデフォルトのセキュリティグループで起動されてしまうので必ず、設定は確認するようにしましょう。
- 重複した制限は緩い方が優先される。許可されたインバウンドに対する応答(戻りのトラヒック)はアクトバウンドで制限があっても、通過することができる。
3.設定方法
AWS EC2インスタンス一覧の画面を開き、左メニューにある「セキュリティグループ」より、作成や編集をすることができます。
4.セキュリティを高める
・必要なポートだけを開放する。
・SSHやRDPなどサーバ管理を行うプロトコルは指定IPアドレスのみからのアクセスを許可する。
5.NACL
- セキュリティグループは、EC2ごとにファイヤーウォールを設定する、ステートフル。
- NACLは、サブネットごとにファイヤーウォールを設定する、ステートレス。
なので、NACLはインバウンドもアウトバウンドも許可/拒否する設定をしなければいけない。
NACLとセキュリティグループはどちらが優先されるのか?
この図の通り、例えば外部からの通信がある場合、セキュリティグループで許可されていても、NACLで拒否されていれば通信できないこととなる。