Что такое security group в AWS и как он помогает контролировать сетевой трафик, идущий к инстансу и от него?

Определение

Security Group — это виртуальный брандмауэр в AWS, который контролирует входящий и исходящий сетевой трафик к EC2 инстансам и другим ресурсам AWS.

Основные функции

Security Groups позволяют тебе управлять сетевым доступом, фильтруя трафик на основе:

• Номеров портов – Указываешь, какие порты открыты для взаимодействия
• Типов протоколов – Определяешь допустимые протоколы (TCP, UDP, ICMP и т.д.)
• IP-адресов источника/назначения – Контролируешь, какие IP могут взаимодействовать с твоими ресурсами

Как это работает

Security Groups работают на уровне инстанса и выступают как первая линия защиты для твоей AWS инфраструктуры. Они используют stateful фильтрацию, что означает: если ты разрешишь исходящий трафик, соответствующий входящий ответ автоматически разрешается.

Практический пример

Важные характеристики

• Каждый EC2 инстанс может быть связан с несколькими Security Groups
• Security Groups привязаны к регионам, но могут ссылаться на другие Security Groups
• Изменения вступают в силу немедленно
• По умолчанию весь исходящий трафик разрешён и весь входящий трафик запрещён, если не указано явно
• Они работают совместно с Network ACLs для комплексной сетевой безопасности

Лучшая практика

Применяй принцип минимальных привилегий, открывая только те порты и протоколы, которые необходимы для нормальной работы твоего приложения.