Go to Qiita Advent Calendar 2024 Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@uirole

【見落とし厳禁!】知らないとヤバいセキュリティグループとネットワークACL

Posted at

はじめに

こんにちは、uiroleです!
今回は、AWSのセキュリティには欠かせない、セキュリティグループとネットワークACLについて解説していきます。

AWS SCS試験でも、セキュリティグループとネットワークACLどちらかを選択する問題が出てくることもあるので、しっかり押さえておきましょう!

【対象者】

この記事は、以下のような方を対象としています。

  • セキュリティグループやネットワークACLの違いが分かりにくいと感じている人
  • AWS環境でネットワークのセキュリティ設定をしっかり行いたいと考えている初心者・中級者
  • AWSのアクセス制御のベストプラクティスを学びたいインフラエンジニア

【前提】

この記事では、以下の前提をもとに進めていきます。

  • VPCやEC2インスタンスなどの基本的な操作に慣れていること
  • 基本的なネットワークの概念(サブネットやポート番号など)を理解していること

【この記事を読んで解決すること】

  • セキュリティグループとネットワークACLの違いが分かり、それぞれの役割を理解できる
  • 適切な設定方法を学び、AWS環境のアクセス制御を強化できる
  • 実際の設定方法を通じて、AWS環境をセキュアに保つための基本的なテクニックを身につけられる

【1. セキュリティグループとは?】

セキュリティグループは、EC2インスタンスなどのリソースに対して適用される仮想ファイアウォールです。
インバウンドおよびアウトバウンドのトラフィックを管理し、指定したルールに基づいてアクセスを許可または拒否します。

セキュリティグループの特徴

  • ステートフル(有状態)
    インバウンドルールを許可すれば、対応するアウトバウンド通信も自動で許可されます。
  • インスタンス単位の適用
    個々のインスタンスに対して直接設定可能で、柔軟なアクセス制御が可能です。
  • 許可ルールのみ
    セキュリティグループでは、許可したい通信のみを明示的に設定するため、デフォルトで全てのアクセスが拒否されます。

セキュリティグループの設定方法

  1. セキュリティグループの作成
    AWSコンソールのVPCメニューから、対象のVPC内に新しいセキュリティグループを作成します。
  2. インバウンド/アウトバウンドルールの設定
    許可するプロトコル、ポート範囲、接続元IPアドレスを指定してアクセス制御を行います。
  3. EC2インスタンスに適用
    作成したセキュリティグループを対象のインスタンスにアタッチして適用します。

【2. ネットワークACLとは?】

ネットワークACL (NACL)は、サブネット単位で適用されるファイアウォールです。
セキュリティグループと異なり、ネットワークACLは ステートレス(無状態) であるため、インバウンドとアウトバウンドのトラフィックルールをそれぞれ設定する必要があります。

ネットワークACLの特徴

  • ステートレス(無状態)
    アウトバウンドルールも設定が必要で、インバウンドとは別に制御されます。
  • サブネット単位の適用
    同じサブネット内のインスタンス全てに影響を与えます。
  • 許可と拒否のルール
    ネットワークACLでは、トラフィックを許可するルールと拒否するルールの両方を設定できます。

ネットワークACLの設定方法

  1. ネットワークACLの作成
    AWSコンソールから、対象のVPC内で新しいネットワークACLを作成します。
  2. ルール番号の順序設定
    ネットワークACLではルールに番号を割り振り、小さい番号が優先されて評価されます。
  3. サブネットに適用
    設定したネットワークACLを特定のサブネットにアタッチします。

【3. セキュリティグループとネットワークACLの違い】

セキュリティグループとネットワークACLには異なる役割があり、それぞれの違いを理解することで、より適切なアクセス制御が可能です。

特徴 セキュリティグループ ネットワークACL
単位 インスタンス サブネット
状態 ステートフル(有状態) ステートレス(無状態)
ルールのタイプ 許可のみ 許可と拒否
デフォルト設定 全てのアクセスを拒否 全てのアクセスを許可

【使い分けのポイント】

  • インスタンス単位で細かく管理したい場合はセキュリティグループを使用。
  • サブネット全体で一律のルールを適用したい場合はネットワークACLが効果的。

【4. ベストプラクティス:セキュリティグループとネットワークACLの活用】

  1. 最小権限の原則を徹底
    アクセスを許可するルールは必要最低限に抑え、不要なトラフィックの流入を防ぎます。
  2. 定期的な監査と見直し
    セキュリティルールの見直しを定期的に行い、不要な設定を削除してセキュリティレベルを保ちましょう。
  3. セキュリティグループとネットワークACLの併用
    複数のレイヤーでアクセス制御を行うことで、より堅牢な防御体制を構築します。

まとめ

AWS上でのセキュリティ対策として、セキュリティグループとネットワークACLは重要な役割を担っています。これらの仕組みを正しく理解し、適切に設定することで、AWS環境でのアクセス制御を強化しましょう。

セキュリティ強化に役立つと感じたら、ぜひ「いいね」やフォローをお願いします!

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?