Security Group

Security Group trong Amazon VPC

ℹ️ Định nghĩa và Đặc điểm

  • Security Group hoạt động như tường lửa ảo ở cấp độ instance
  • Chỉ hỗ trợ các quy tắc cho phép (Allow rules)
  • Có thể cấu hình quy tắc riêng biệt cho lưu lượng vào/ra
  • Là dịch vụ có trạng thái (Stateful) - nếu lưu lượng vào được cho phép, lưu lượng ra tương ứng cũng được cho phép

⚠️ Cấu hình Mặc định

  • Security Group mới không có sẵn quy tắc vào (Inbound rules)
  • Mặc định có quy tắc ra (Outbound rule) cho phép mọi lưu lượng
  • Instance ban đầu sẽ chặn mọi lưu lượng vào cho đến khi được cấu hình

🔒 Quản lý Kết nối

  • Instance chỉ có thể giao tiếp khi được liên kết với Security Group phù hợp
  • Có thể thay đổi Security Group sau khi Instance đã được tạo
  • Liên kết với network interface của Instance
  • Hỗ trợ kết nối giữa các VPC thông qua VPC Peering

Quy tắc Security Group (Security Group Rules)

ℹ️ Cấu trúc Quy tắc

  • Quy tắc vào (Inbound):
    • Xác định nguồn lưu lượng (CIDR, Security Group khác)
    • Chỉ định cổng đích hoặc dải cổng
  • Quy tắc ra (Outbound):
    • Xác định đích đến (CIDR, Security Group, Prefix Lists)
    • Chỉ định cổng đích hoặc dải cổng

💡 Pro Tips

  • Sử dụng các giao thức chuẩn (SSH: 22, HTTP: 80, HTTPS: 443)
  • Tận dụng tính năng tham chiếu Security Group để quản lý quy tắc linh hoạt
  • Áp dụng nguyên tắc đặc quyền tối thiểu khi cấu hình quy tắc

⚠️ Giới hạn và Lưu ý

  • Tối đa 5 Security Group cho mỗi network interface
  • Không thể cấu hình quy tắc từ chối (Deny rules)
  • Cần xóa quy tắc ra mặc định nếu muốn kiểm soát chặt chẽ lưu lượng ra