文章

探索 VPC Security Groups 與 Network ACLs

發布於 更新於
作者 Ned Hsu 6 分鐘閱讀

探索 VPC Security Groups 與 Network ACLs

在 Amazon VPC 中,安全是至關重要的部分,Amazon 提供了 Security GroupsNetwork ACLs (Access Control Lists) 兩種主要的安全機制來控制網路流量。這兩者雖然都用於保護 VPC 中的資源,但在功能和使用場景上有所不同。以下是對 Security Groups 和 Network ACLs 的詳細介紹及其應用場景。

1. Security Groups

Security Groups 是一種虛擬防火牆,用於控制進入和離開 VPC 資源的流量(例如 EC2 實例)。每個 Security Group 都附加在一個或多個 VPC 資源上,並且只允許符合其規則的流量。

Security Groups 的特性:

  1. 狀態性 (Stateful)
    • Security Groups 是狀態性的,這意味著如果允許進入的流量,則相應的回應流量會自動被允許,無需額外規則來允許出站流量。
  2. 僅控制允許的流量
    • Security Groups 只允許流量,無法顯式地拒絕流量。如果沒有符合條件的允許規則,該流量將自動被拒絕。
  3. 針對特定資源應用
    • Security Groups 是直接附加在 EC2 實例等資源上的,可以在多個資源之間共用一個 Security Group。
  4. 按類型設置規則
    • 您可以按流量的類型(如 TCP、UDP、ICMP)、端口範圍、來源 IP 地址或另一個 Security Group 設置規則。

Security Groups 的應用場景:

  • 應用層防護:針對特定應用的需求設置 Security Group,例如允許 Web 伺服器的 HTTP/HTTPS 流量,或允許數據庫伺服器的 MySQL 流量。
  • 基於服務的隔離:對不同的服務(例如 Web 伺服器和資料庫伺服器)使用不同的 Security Groups,以確保服務之間的隔離和安全。

2. Network ACLs (NACLs)

Network ACLs 是一個可選的網路層級防火牆,用於控制進出 VPC 子網的流量。每個子網都可以與一個 NACL 關聯,並且 NACL 會對該子網的所有資源生效。

Network ACLs 的特性:

  1. 無狀態 (Stateless)
    • NACLs 是無狀態的,這意味著如果允許進入的流量,對應的出站流量不會自動被允許,您需要明確設置回應流量的規則。
  2. 允許和拒絕規則
    • 與 Security Groups 不同,NACLs 可以明確設置允許或拒絕特定類型的流量。
  3. 按順序評估規則
    • NACLs 中的規則按編號順序進行評估。第一個匹配的規則會被應用,後續的規則不再考慮。因此,規則的順序很重要。
  4. 與子網相關聯
    • 每個子網可以關聯一個 NACL,並且該子網中的所有流量都會受到 NACL 規則的影響。

Network ACLs 的應用場景:

  • 額外的子網安全性:NACLs 通常用於為子網添加額外的安全層,以防止來自外部或其他子網的潛在威脅。
  • 拒絕特定流量:如果需要明確地拒絕某些特定的 IP 範圍或流量類型,可以使用 NACLs 設置拒絕規則。

Security Groups 與 Network ACLs 的比較:

特性Security GroupsNetwork ACLs
狀態性狀態性 (Stateful)無狀態 (Stateless)
流量控制只允許 (Allow Only)允許和拒絕 (Allow and Deny)
應用範圍針對特定資源(如 EC2 實例)針對子網
評估順序沒有順序,所有規則都會被應用按規則號順序評估
常見使用場景控制進出特定資源的流量提供子網層級的額外安全控制

實際應用中的最佳實踐:

  1. 多層防護
    • 在 VPC 中使用多層防護策略,例如將 Security Groups 與 NACLs 結合使用,以增強整體網路安全性。
  2. 適當設置 Security Groups
    • 對於每個應用,應設置專用的 Security Groups,以最小化暴露在公網上的攻擊面。同時,經常檢查和更新 Security Groups 規則,確保符合當前的安全需求。
  3. NACLs 用於細粒度控制
    • 對於需要更細粒度流量控制的子網,特別是需要拒絕某些特定流量時,可以考慮使用 NACLs。尤其在設置公共子網時,使用 NACLs 來保護子網免受未經授權的訪問。

總結

Security Groups 和 Network ACLs 是保護 Amazon VPC 中資源的兩種主要工具。Security Groups 通常用於資源級別的安全控制,而 Network ACLs 則提供子網級別的流量控制。通過理解和正確應用這兩種工具,您可以在 AWS 中構建更加安全、健壯的網路環境。

Software, AWS
AWS Cloud Service
本文章以 CC BY 4.0 授權