Какие основные различия между Security Groups и Network ACLs в плане точек подключения, состояния, применения правил и как они работают с блокировкой IP-адресов и поведением по умолчанию?

Обзор

Security Groups и Network ACLs — оба важные компоненты AWS-сетей, но работают они на разных уровнях и используют разные механизмы.

Уровень подключения

• Security Groups подключаются напрямую к EC2-инстансам
• Network ACLs подключаются к подсетям, защищая все инстансы внутри этой подсети

Состояние соединения

• Security Groups stateful: разрешение входящего трафика автоматически разрешает соответствующий исходящий ответ
• Network ACLs stateless: входящие и исходящие правила проверяются независимо, нужны явные правила для обеих сторон

Оценка правил

• Security Groups используют только правила разрешения — весь трафик по умолчанию запрещён, пока не разрешён явно
• Network ACLs поддерживают правила разрешения и запрета, что даёт больше контроля над блокировкой трафика

Блокировка по IP-адресам

• Security Groups не могут напрямую блокировать конкретные IP-адреса; для этого нужно использовать другие подходы
• Network ACLs могут явно запрещать конкретные IP-адреса через правила запрета, что даёт возможность прямой блокировки

Главное

Используй Security Groups для защиты на уровне инстанса — они stateful и работают с простыми правилами разрешения. Используй Network ACLs для фильтрации на уровне подсети — они stateless и подходят, когда нужны явные правила запрета и больше контроля над трафиком между несколькими инстансами.