##1.セキュリティグループとは?##
・Amazon EC2 インスタンスに適用可能なAWS標準のファイアウォール機能であり、EC2インスタンスへのアクセスを"許可"したり、トラフィックを"制御"することができます。
##2.注意点##
- インバウンド:未設定の場合通信は全て遮断し、許可した通信のみを通過させます。
*デフォルトですべて拒否 - アウトバウンド:自動的にデフォルトのセキュリティグループが適用されます。
*デフォルトですべて許可
EC2インスタンス起動時にセキュリティグループを指定しなかった場合、インスタンスは自動的にこのデフォルトのセキュリティグループで起動されてしまうので必ず、設定は確認するようにしましょう。
- 重複した制限は緩い方が優先される。許可されたインバウンドに対する応答(戻りのトラヒック)はアクトバウンドで制限があっても、通過することができる。
##3.設定方法##
AWS EC2インスタンス一覧の画面を開き、左メニューにある「セキュリティグループ」より、作成や編集をすることができます。
##4.セキュリティを高める##
・必要なポートだけを開放する。
・SSHやRDPなどサーバ管理を行うプロトコルは指定IPアドレスのみからのアクセスを許可する。
##5.NACL##
- セキュリティグループは、EC2ごとにファイヤーウォールを設定する、ステートフル。
- NACLは、サブネットごとにファイヤーウォールを設定する、ステートレス。
なので、NACLはインバウンドもアウトバウンドも許可/拒否する設定をしなければいけない。
NACLとセキュリティグループはどちらが優先されるのか?
この図の通り、例えば外部からの通信がある場合、セキュリティグループで許可されていても、NACLで拒否されていれば通信できないこととなる。