Nhóm bảo mật (SG) và Danh sách kiểm soát truy cập mạng (NACL) là các tính năng đi kèm với Đám mây riêng ảo (VPC) trong Amazon Web Services (AWS).
SG hoạt động như tường lửa cho phiên bản của chúng tôi để kiểm soát hoặc hạn chế lưu lượng truy cập đến và đi. Khi chúng tôi khởi chạy một phiên bản trong VPC, chúng tôi có thể chỉ định tối đa năm nhóm bảo mật cho phiên bản đó. Nhóm bảo mật hoạt động ở cấp độ phiên bản chứ không phải cấp độ mạng con. Nếu chúng ta không chỉ định một nhóm cụ thể tại thời điểm khởi chạy, thì phiên bản sẽ tự động được chỉ định cho nhóm bảo mật mặc định của VPC.
Chúng ta có thể thêm các quy tắc trong SG để kiểm soát lưu lượng truy cập đến các phiên bản và một bộ quy tắc riêng để kiểm soát lưu lượng truy cập đi.
NACL là lớp bảo mật tùy chọn cho VPC, hoạt động như tường lửa để kiểm soát lưu lượng truy cập vào và ra khỏi một hoặc nhiều mạng con. Chúng ta có thể thiết lập NACL với các quy tắc tương tự như SG để thêm một lớp bảo mật bổ sung vào Mạng con.
Trước khi tiến hành tạo SG và NACL, hãy cùng xem sự khác biệt giữa cả hai.
Sau khi đăng nhập thành công vào AWS, chúng ta sẽ thấy bảng điều khiển chính với tất cả các dịch vụ được liệt kê như sau.
Trên Bảng điều khiển VPC chính, nhấp vào "Nhóm bảo mật" từ bảng điều khiển bên trái để tạo nhóm bảo mật đầu tiên của bạn.
Nhấp vào "Tạo nhóm bảo mật" để tạo nhóm.
Đặt tên cho nhóm Bảo mật sẽ được tạo cùng với mô tả về nhóm đó để giúp hiểu mục đích của nhóm.
Sau khi nhóm Bảo mật được tạo, bạn có thể thấy màn hình như sau. Nhấp vào Liên kết ID Nhóm bảo mật để đi đến SG và thêm Quy tắc đến và đi.
Tại đây, nhấp vào "Quy tắc đến" có sẵn ở menu dưới cùng bên cạnh phần mô tả và nhấp vào "Chỉnh sửa quy tắc" để thêm quy tắc vào SG này.
Bạn có thể chọn loại Quy tắc sẽ được thêm vào, cổng/phạm vi cổng của nó. Trong Nguồn, bạn có thể chọn "IP của tôi", "Tùy chỉnh" hoặc "Bất kỳ đâu", điều này quyết định nguồn được phép. Thêm mô tả giúp hiểu mục đích của Quy tắc được thêm vào. Sau khi hoàn tất việc thêm quy tắc mong muốn, hãy nhấp vào "Lưu quy tắc".
Theo cách chúng tôi thêm Quy tắc đến, bạn cũng có thể thêm Quy tắc đi.
Đặt tên cho NACL và chọn VPC mà NACL này sẽ được áp dụng và nhấp vào Create.
Chọn NACL bạn vừa tạo và nhấp vào "Inbound Rules" từ menu dưới cùng.
Thêm số Rule quyết định mức độ ưu tiên so với các Rule khác. Số thấp nhất có mức độ ưu tiên cao nhất. Ở đây, Rule đầu tiên có Priority 1 cho cổng 22 là Deny. Điều này có nghĩa là ngay cả khi Rule thứ hai có Allow for all(0.0.0.0/0) với mức độ ưu tiên thấp hơn, Rule thứ hai này sẽ không có bất kỳ tác động nào đến Source của Rule đầu tiên và vẫn sẽ từ chối Source của Rule đầu tiên. Hãy rất cẩn thận khi thêm các Rule và Rule Number vào chúng. Sau khi hoàn tất việc thêm tất cả các quy tắc cần thiết, hãy nhấp vào "Tạo".
Bạn có thể làm theo các bước tương tự để thêm các quy tắc gửi đi.
SG hoạt động như tường lửa cho phiên bản của chúng tôi để kiểm soát hoặc hạn chế lưu lượng truy cập đến và đi. Khi chúng tôi khởi chạy một phiên bản trong VPC, chúng tôi có thể chỉ định tối đa năm nhóm bảo mật cho phiên bản đó. Nhóm bảo mật hoạt động ở cấp độ phiên bản chứ không phải cấp độ mạng con. Nếu chúng ta không chỉ định một nhóm cụ thể tại thời điểm khởi chạy, thì phiên bản sẽ tự động được chỉ định cho nhóm bảo mật mặc định của VPC.
Chúng ta có thể thêm các quy tắc trong SG để kiểm soát lưu lượng truy cập đến các phiên bản và một bộ quy tắc riêng để kiểm soát lưu lượng truy cập đi.
NACL là lớp bảo mật tùy chọn cho VPC, hoạt động như tường lửa để kiểm soát lưu lượng truy cập vào và ra khỏi một hoặc nhiều mạng con. Chúng ta có thể thiết lập NACL với các quy tắc tương tự như SG để thêm một lớp bảo mật bổ sung vào Mạng con.
Trước khi tiến hành tạo SG và NACL, hãy cùng xem sự khác biệt giữa cả hai.
- SG hoạt động ở cấp độ phiên bản trong khi NACL hoạt động ở cấp độ mạng con.
- SG chỉ hỗ trợ các quy tắc cho phép và NACL hỗ trợ các quy tắc cho phép và từ chối.
- SG đánh giá tất cả các quy tắc trước khi quyết định có cho phép lưu lượng truy cập hay không và trong NACL, các quy tắc được xử lý theo thứ tự số khi quyết định có cho phép lưu lượng truy cập hay không.
- SG chỉ được áp dụng cho một phiên bản nếu ai đó chỉ định nhóm bảo mật trong khi NACL được tự động áp dụng cho tất cả các phiên bản trong các mạng con mà nó được liên kết.
Điều kiện tiên quyết
- Tài khoản AWS (Tạo nếu bạn chưa có).
Chúng ta sẽ làm gì?
- Đăng nhập vào AWS.
- Tạo Nhóm bảo mật
- Tạo Truy cập mạng Danh sách kiểm soát.
Đăng nhập vào AWS
- Nhấp vào đâyđể đến Trang đăng nhập AWS.
Sau khi đăng nhập thành công vào AWS, chúng ta sẽ thấy bảng điều khiển chính với tất cả các dịch vụ được liệt kê như sau.
Tạo Nhóm bảo mật
Để tạo SG, hãy nhấp vào "Dịch vụ" ở thanh menu trên cùng và tìm kiếm "VPC" rồi nhấp vào kết quả.Trên Bảng điều khiển VPC chính, nhấp vào "Nhóm bảo mật" từ bảng điều khiển bên trái để tạo nhóm bảo mật đầu tiên của bạn.
Nhấp vào "Tạo nhóm bảo mật" để tạo nhóm.
Đặt tên cho nhóm Bảo mật sẽ được tạo cùng với mô tả về nhóm đó để giúp hiểu mục đích của nhóm.
Sau khi nhóm Bảo mật được tạo, bạn có thể thấy màn hình như sau. Nhấp vào Liên kết ID Nhóm bảo mật để đi đến SG và thêm Quy tắc đến và đi.
Tại đây, nhấp vào "Quy tắc đến" có sẵn ở menu dưới cùng bên cạnh phần mô tả và nhấp vào "Chỉnh sửa quy tắc" để thêm quy tắc vào SG này.
Bạn có thể chọn loại Quy tắc sẽ được thêm vào, cổng/phạm vi cổng của nó. Trong Nguồn, bạn có thể chọn "IP của tôi", "Tùy chỉnh" hoặc "Bất kỳ đâu", điều này quyết định nguồn được phép. Thêm mô tả giúp hiểu mục đích của Quy tắc được thêm vào. Sau khi hoàn tất việc thêm quy tắc mong muốn, hãy nhấp vào "Lưu quy tắc".
Theo cách chúng tôi thêm Quy tắc đến, bạn cũng có thể thêm Quy tắc đi.
Tạo Danh sách kiểm soát truy cập mạng
Để tạo NACL, hãy nhấp vào "Network ACLs" từ bảng điều khiển bên trái.Đặt tên cho NACL và chọn VPC mà NACL này sẽ được áp dụng và nhấp vào Create.
Chọn NACL bạn vừa tạo và nhấp vào "Inbound Rules" từ menu dưới cùng.
Thêm số Rule quyết định mức độ ưu tiên so với các Rule khác. Số thấp nhất có mức độ ưu tiên cao nhất. Ở đây, Rule đầu tiên có Priority 1 cho cổng 22 là Deny. Điều này có nghĩa là ngay cả khi Rule thứ hai có Allow for all(0.0.0.0/0) với mức độ ưu tiên thấp hơn, Rule thứ hai này sẽ không có bất kỳ tác động nào đến Source của Rule đầu tiên và vẫn sẽ từ chối Source của Rule đầu tiên. Hãy rất cẩn thận khi thêm các Rule và Rule Number vào chúng. Sau khi hoàn tất việc thêm tất cả các quy tắc cần thiết, hãy nhấp vào "Tạo".
Bạn có thể làm theo các bước tương tự để thêm các quy tắc gửi đi.
