在AWS SA間流傳著一句俗諺:「SG/NACL鎖的好,資安沒煩惱」。很多在用AWS的用戶常常分不清楚Security Group跟Network Access Control List(NACL)的差異在哪,今天讓我們來好好研究一下什麼是AWS SG。
什麼是Security Group?
Security Group(SG)就是EC2外面一層的流量防火牆,你可以透過設定SG規則來限制流入到Instance的流量(Inbound Traffic/Ingress)以及從Instance的流出的流量(Outbound Traffic/Engress),若您在啟用EC2時,不想要手動設定,也可以使用預設規則。
SG規則
預設的SG規則是限制流入的流量,但流出不限制,若您的公司對於流量控管有嚴格的要求,SG也可以設定限制流出的流量只能到某些您設定的目標位置,以下是一些比較常見設定SG規則的條件:
如何建立SG
1.找到EC2,在側邊選單找到Network&Security選Security Group
2.按Create Security Group
3.輸入名稱、敘述以及選擇一個已經建好的VPC
4.設定Inbound 規則,選擇port種類、設定來源IP。Outbound 基本上不限制
5.最後按下Create Security Group,就完成了,在你建立EC2 Instance時你就可以選擇將此SG附上,如果有發現無法連線的問題也可以來檢查SG的設定是否正確
小結
如同前面所述,只要在使用EC2時有講SG鎖好基本上不會有太大的問題,許多AWS上的資安議題會發生幾乎都是SG設定錯誤或是誤開了某些port讓一些惡意的流量來存取您的資源。