Определение и назначение
Security groups — это виртуальные брандмауэры в AWS, которые контролируют входящий и исходящий трафик для EC2 инстансов. Они работают как основной механизм управления сетевым доступом к твоим ресурсам.
Основной функционал
- Содержат и фильтруют трафик для одного или нескольких EC2 инстансов
- Можно привязать к инстансам при запуске или изменить после создания
- Применяют правила, которые определяют, какой трафик разрешён или запрещён
- Работают на уровне инстанса, а не на уровне подсети
Управление правилами
Security groups используют правила входящего и исходящего трафика для управления потоком трафика:
- Правила входящего трафика определяют, какой внешний трафик может достигать твоих инстансов
- Правила исходящего трафика определяют, какой трафик может покидать твои инстансы
- Правила могут быть основаны на протоколе (TCP, UDP, ICMP), номерах портов и IP-адресах источника/назначения или security groups
Динамические обновления
Ключевое преимущество security groups — их гибкость:
- Правила можно изменять в любой момент без перезагрузки инстансов
- Изменения применяются сразу и автоматически ко всем связанным инстансам
- К одному инстансу можно привязать несколько security groups, и их правила объединяются
Практическое применение
Security groups необходимы для:
- Ограничения доступа к базам данных только для серверов приложений
- Разрешения веб-трафика на портах 80 и 443
- Управления административным доступом по SSH/RDP
- Создания многоуровневых архитектур безопасности
Security groups лучше всего работают в связке с другими инструментами безопасности AWS, такими как network access control lists (NACLs) и настройка VPC, обеспечивая комплексную защиту сети.