在AWS SA間流傳著一句俗諺:「SG/NACL鎖的好，資安沒煩惱」。很多在用AWS的用戶常常分不清楚Security Group跟Network Access Control List(NACL)的差異在哪，今天讓我們來好好研究一下什麼是AWS SG。

什麼是Security Group?
Security Group(SG)就是EC2外面一層的流量防火牆，你可以透過設定SG規則來限制流入到Instance的流量(Inbound Traffic/Ingress)以及從Instance的流出的流量(Outbound Traffic/Engress)，若您在啟用EC2時，不想要手動設定，也可以使用預設規則。

SG規則
預設的SG規則是限制流入的流量，但流出不限制，若您的公司對於流量控管有嚴格的要求，SG也可以設定限制流出的流量只能到某些您設定的目標位置，以下是一些比較常見設定SG規則的條件：

• SG規則是透過允許來設定，您無法建立拒絕存取的規則。
• SG規則可讓您選擇協定(TCP、HTTP、HTTPS、SSH)以及port 號
• SG是stateful，也就是說今天當您的Instance發出request，當response流量進來的時候不會管SG規則
• 您可以隨時新增或移除SG規則
• 您可以套用超過一組的SG規則

如何建立SG
1.找到EC2，在側邊選單找到Network&Security選Security Group

2.按Create Security Group

3.輸入名稱、敘述以及選擇一個已經建好的VPC

4.設定Inbound 規則，選擇port種類、設定來源IP。Outbound 基本上不限制


5.最後按下Create Security Group，就完成了，在你建立EC2 Instance時你就可以選擇將此SG附上，如果有發現無法連線的問題也可以來檢查SG的設定是否正確

小結
如同前面所述，只要在使用EC2時有講SG鎖好基本上不會有太大的問題，許多AWS上的資安議題會發生幾乎都是SG設定錯誤或是誤開了某些port讓一些惡意的流量來存取您的資源。