Security Groups và Network ACLs trong VPC
Bảo mật mạng trong Amazon VPC được đảm bảo bởi 2 lớp bảo vệ:
- Security Group (SG) - Firewall ở cấp instance.
- Network Access Control Lists (NACL) - Firewall ở cấp subnet.
Security Groups là gì
Security Group (SG) là tường lửa ảo ở cấp độ instance (EC2, RDS…) giúp kiểm soát inbound và outbound traffic.
Đặc điểm của SG
- Hoạt động ở cấp instance (EC2, RDS…).
- Stateful:
→ Nếu cho phép inbound, thì outbound trả về tự động được cho phép. - Chỉ chứa Allow rules (không có Deny rules).
- Có thể gán nhiều SG cho một Instance, và một SG có thể được gán cho nhiều instance.
Cấu trúc Rule trong SG
- Inbound rules: Kiểm soát traffic đi vào instance.
- Outbound rules: Kiểm soát traffic đi ra từ instance.
- Mỗi rule gồm:
- Protocol (TCP, UDP, ICMP…)
- Port range
- Source/Destination (CIDR, SG khác, IP)
Ví dụ
| Type | Protocol | Port Range | Source | Mô tả |
|---|---|---|---|---|
| Inbound | TCP | 22 | 203.0.113.0/24 | SSH từ IP Leader |
| Inbound | TCP | 80 | 0.0.0.0/0 | HTTP từ mọi nơi |
| Outbound | All | All | 0.0.0.0/0 | Cho phép tất cả đi ra |
Network ACL (NACL) là gì
Network ACL là tường lửa ảo ở cấp độ subnet giúp kiểm soát inbound và outbound traffic.
Đặc điểm của NACL
- Hoạt động ở cấp Subnet.
- Stateless:
→ Inbound và outbound phải cấu hình riêng. - Có cả Allow và Deny rules.
- Mặc định, mỗi VPC có một default NACL (cho phép tất cả IN/OUT).
Cấu trúc Rule trong NACL
- Rule được đánh số từ 1 đến 32766 (Số nào càng nhỏ thì độ ưu tiên càng cao.).
- Mỗi rule gồm:
- Rule number
- Allow/Deny
- Protocol, Port range
- Source/Destination CIDR
Ví dụ
| Rule # | Type | Protocol | Port Range | Source | Action | Mô tả |
|---|---|---|---|---|---|---|
| 100 | Inbound | TCP | 22 | 203.0.113.0/24 | ALLOW | SSH từ IP công ty |
| 110 | Inbound | TCP | 80 | 0.0.0.0/0 | ALLOW | HTTP từ mọi nơi |
| * | Inbound | All | All | 0.0.0.0/0 | DENY | Chặn mọi thứ còn lại |