【 AWS 雲端資安 Inside out 】 基礎雲端資安觀念 part 4 - Security Group 與 Network Access Control List 建置教學簡介(一)

除了前篇介紹的基礎雲端資安服務之外,AWS 用戶間更常常流傳著一句俗諺:「SG/NACL鎖的好,資安沒煩惱」。 Security Group(SG)跟Network Access Control List(NACL)的服務其實正是AWS雲端資安最重要的兩大防線。

Security Group(SG)就是EC2外面一層的流量防火牆,你可以透過設定SG規則來限制流入到Instance的流量(Inbound Traffic/Ingress)以及從Instance的流出的流量(Outbound Traffic/Engress),若您在啟用EC2時,不想要手動設定,也可以使用預設規則。

SG規則

預設的SG規則是限制流入的流量,但流出不限制,若您的公司對於流量控管有嚴格的要求,SG也可以設定限制流出的流量只能到某些您設定的目標位置,以下是一些比較常見設定SG規則的條件:

  • SG規則是透過允許來設定,您無法建立拒絕存取的規則。
  • SG規則可讓您選擇協定(TCP、HTTP、HTTPS、SSH)以及port 號
  • SG是stateful,也就是說今天當您的Instance發出request,當response流量進來的時候不會管SG規則
  • 您可以隨時新增或移除SG規則
  • 您可以套用超過一組的SG規則

如何建立SG

1.找到EC2,在側邊選單找到Network&Security選Security Group

2.按Create Security Group

3.輸入名稱、敘述以及選擇一個已經建好的VPC

4.設定Inbound 規則,選擇port種類、設定來源IP。Outbound 基本上不限制

5.最後按下Create Security Group,就完成了,在你建立EC2 Instance時你就可以選擇將此SG附上,如果有發現無法連線的問題也可以來檢查SG的設定是否正確

什麼是NACL?

Network Access Control List(NACL)是作用在VPC層級可選用的安全防護選項,可作為防火牆來阻擋進出子網域的流量。

  • 您的VPC 自動帶有可修改的預設NACL。預設情況下,它允許所有入站和出站 IPv4 流量以及 IPv6 流量。
  • 您可以創建自定NACL 並將其與子網路關聯。預設情況下,每個自定義NACL 都會拒絕所有入站和出站流量,直到您添加規則。
  • 您的 VPC 中的每個子網路都必須與一個NACL 相關聯。如果您沒有明確地將子網路NACL 相關聯,子網路將自動與預設NACL 相關聯。
  • 您可以將一個NACL 與多個子網路關聯。但是,一個子網路一次只能與一個NACL 相關聯。 當您將NACL 與子網路關聯時,先前的關聯將被刪除。
  • NACL 具有單獨的入站和出站規則,每個規則可以允許或拒絕流量(SG只能設定允許規則)。
  • NACL是無狀態(stateless)的,這代表對允許的入站流量的回應受出站流量規則的約束,反之亦然(SG是stateful)。

怎麼佈建NACL?

1.找到VPC,在側邊選單Security底下選Network ACLs

2.按Create network ACL

3. Network ACL settings 輸入名稱,以及選擇你要設定的VPC。Tag的部分可做標記,填完之後按Create network ACL

4.回到NACL列表,找到剛剛建立的NACL點進去,你就可以針對In/Outbound rules進行編輯,來去限制那些流量可流入/流出

簡單來說SG跟NACL兩者都是控管流量的服務,但SG是作用於Instance上是Stateful且只能設立允許規則,而NACL是作用於VPC是Stateless可設立允許以及拒絕規定。

請持續鎖定 Nextlink 架構師專欄,以獲得最新專業資訊喔!

若您有任何 AWS 需求,歡迎與我們聯繫!