Centro de Conhecimento DevOps
Centro de Conhecimento DevOps

Security Groups vs. Network ACLs: Escolhendo seu Firewall AWS VPC

Navegue pelas complexidades da segurança do AWS VPC dominando as diferenças entre Security Groups (SGs) e Network ACLs (NACLs). Este guia especializado explica o escopo, o estado (statefulness) e a avaliação de regras de ambos os controles. Aprenda por que os SGs são ideais para proteção de instâncias detalhada e com estado, enquanto as NACLs são essenciais para segmentação de sub-redes ampla e sem estado (stateless) e políticas de negação explícita. Implemente uma estratégia de firewall robusta e em múltiplas camadas para sua infraestrutura de nuvem.

37 visualizações

Grupos de Segurança vs. Listas de Controle de Acesso de Rede: Escolhendo seu Firewall AWS VPC

Ao projetar um ambiente seguro de Nuvem Privada Virtual (VPC) na Amazon Web Services (AWS), os administradores confiam em várias camadas de controle para gerenciar o tráfego de rede. Os dois componentes fundamentais para filtrar o tráfego no nível da rede são os Grupos de Segurança (SGs) e as Listas de Controle de Acesso de Rede (NACLs).

Embora ambos atuem como firewalls virtuais e utilizem regras para controlar o tráfego de entrada e saída, eles operam em camadas fundamentalmente diferentes da arquitetura VPC e utilizam mecanismos distintos para avaliação de regras. Compreender essas diferenças — especificamente seu escopo, estado e processamento de regras — é crucial para estabelecer uma postura de segurança de rede robusta e em conformidade. Este guia fornece uma comparação abrangente e explica como alavancar SGs e NACLs de forma eficaz para defesa em profundidade.

O Papel dos Firewalls em AWS VPC

A AWS fornece segurança de rede em dois níveis principais dentro de uma VPC:

  1. Nível de Instância (Grupos de Segurança): Atua como um firewall para instâncias EC2 ou recursos específicos (como bancos de dados RDS ou Elastic Load Balancers). Controla o tráfego de e para a interface de rede.
  2. Nível de Sub-rede (Listas de Controle de Acesso de Rede): Atua como um firewall sem estado para sub-redes inteiras, controlando o fluxo de tráfego que entra ou sai do limite da sub-rede.

Análise Detalhada de Grupos de Segurança (SGs)

Os Grupos de Segurança funcionam como o firewall principal e granular para recursos individuais. Eles são com estado e operam na Camada 4 (Camada de Transporte) do modelo OSI.

Principais Características dos Grupos de Segurança

Característica Descrição Implicações para Uso
Escopo Aplica-se diretamente à Interface de Rede Elástica (ENI) de uma instância. Controla o fluxo de tráfego para e da própria instância.
Estado Com estado. Se uma solicitação de entrada for explicitamente permitida, o tráfego de retorno correspondente (resposta de saída) é automaticamente permitido, independentemente das regras de saída. Simplifica a configuração; é necessário definir apenas a direção do tráfego que inicia.
Tipo de Regra Apenas Permitir. Regras de negação explícitas não são possíveis. O tráfego que não corresponde a uma regra PERMITIR explícita é implicitamente negado. Foca em definir o que é permitido.
Avaliação Todas as regras são avaliadas antes que uma decisão seja tomada. Elas não são numeradas e nenhum NEGAR implícito é processado até que todas as regras PERMITIR falhem. A ordem não importa; todas as regras são tratadas igualmente.

Exemplo de Configuração de Grupo de Segurança

Para permitir acesso SSH (porta 22) a uma instância EC2, você só precisa de uma regra de entrada. A regra de saída para a resposta SSH é tratada automaticamente pela natureza com estado do SG.

Tipo Protocolo Faixa de Portas Origem Descrição
Entrada TCP 22 0.0.0.0/0 (ou IP de administrador específico) Permitir acesso SSH
Saída Tudo Tudo 0.0.0.0/0 (Padrão: Permite todo o tráfego, mas isso pode ser restrito se necessário) 
# Representação conceitual de um fluxo com estado
Usuário (IP de Origem) --> [Regra de SG de Entrada: PERMITIR 22] --> Instância EC2
Instância EC2 (Resposta) --> [Estado Implícito Rastreado] --> Usuário (Resposta recebida)

Dica de Melhor Prática: Sempre defina regras de Grupo de Segurança usando o princípio do menor privilégio. Sempre que possível, restrinja intervalos de IP de origem em vez de permitir 0.0.0.0/0.

Análise Detalhada de Listas de Controle de Acesso de Rede (NACLs)

As Listas de Controle de Acesso de Rede fornecem uma segunda camada de defesa, atuando como um filtro sem estado no limite da sub-rede. Elas são poderosas para segmentação de rede e políticas de negação amplas.

Principais Características das Listas de Controle de Acesso de Rede

Característica Descrição Implicações para Uso
Escopo Aplica-se a uma sub-rede VPC inteira. Uma sub-rede só pode ser associada a uma NACL por vez. Controla todo o tráfego que entra ou sai da sub-rede, afetando todas as instâncias dentro dela.
Estado Sem estado. Tanto as solicitações de entrada quanto as respostas de saída correspondentes devem ser explicitamente permitidas. Requer configuração cuidadosa para tráfego de retorno (portas efêmeras).
Tipo de Regra Permitir e Negar. Você pode definir explicitamente regras para permitir ou bloquear tráfego. Excelente para bloquear IPs maliciosos conhecidos ou negar protocolos específicos em toda a rede.
Avaliação As regras são numeradas (de 1 a 32766) e avaliadas sequencialmente, começando pelo menor número. A primeira regra correspondente é aplicada imediatamente. A ordem das regras é crítica. A regra de negação implícita (a última regra processada) nega tudo o que não foi explicitamente permitido.

Lidando com Tráfego Sem Estado (Portas Efêmeras)

Como as NACLs são sem estado, você deve considerar as portas efêmeras usadas por clientes que se conectam aos seus servidores. Quando um cliente inicia uma conexão, ele usa uma porta de destino (por exemplo, 80 para HTTP) e uma porta de origem de alto número (intervalo de portas efêmeras, tipicamente 1024-65535).

Para permitir tráfego da web (HTTP) em uma sub-rede, você precisa de duas regras:

  1. Regra de Entrada: Permite tráfego na porta de destino (por exemplo, 80).
  2. Regra de Saída: Permite o tráfego de retorno de volta para o cliente usando as portas de origem efêmeras.
Nº da Regra Tipo Protocolo Faixa de Portas Origem/Destino Ação da Regra
100 Entrada TCP 80 0.0.0.0/0 PERMITIR (Tráfego da Web de entrada)
110 Saída TCP 1024-65535 0.0.0.0/0 PERMITIR (Resposta da Web de saída - Portas Efêmeras)
* Negação Implícita Tudo Tudo Tudo NEGAR (Processada por último)

Atenção: Se você esquecer a regra de saída correspondente para portas efêmeras em uma NACL, o tráfego chegará à instância (devido à regra de entrada), mas a resposta será descartada no limite da sub-rede, levando a tempos limite de conexão.

Resumo da Comparação: SG vs. NACL

A tabela a seguir resume as diferenças cruciais entre os dois tipos de firewall:

Característica Grupo de Segurança (SG) Lista de Controle de Acesso de Rede (NACL)
Escopo de Aplicabilidade Nível de Instância/ENI Nível de Sub-rede
Estado Com estado Sem estado
Tipos de Regra Apenas Permitir Permitir e Negar
Avaliação de Regras Todas as regras avaliadas, sem ordem específica. Regras avaliadas sequencialmente por número (do menor primeiro); a primeira correspondência vence.
Comportamento Padrão Nega todo o tráfego de entrada, permite todo o tráfego de saída (a menos que restrito). A NACL padrão permite toda a entrada/saída. NACLs personalizadas negam toda a entrada/saída.
Efeito no Tráfego Aplica regras apenas se o tráfego for destinado a ou originário de um recurso associado. Filtra o tráfego que passa pelo limite da sub-rede, afetando todos os recursos na sub-rede.

Escolhendo o Firewall Correto: Cenários e Melhores Práticas

A segurança bem-sucedida da VPC depende do uso conjunto de SGs e NACLs em uma abordagem em camadas (Defesa em Profundidade).

Quando Priorizar Grupos de Segurança

Os Grupos de Segurança devem ser a ferramenta principal para filtrar o acesso à rede devido à sua natureza com estado e capacidade de referenciar outros SGs, simplificando a configuração da aplicação.

  • Controle Granular de Aplicações: Use SGs para definir exatamente quais portas e protocolos são necessários para uma aplicação específica (por exemplo, permitir apenas tráfego na porta 3306 do SG do servidor web para o SG do banco de dados).
  • Comunicação Interna: Gerencie a segurança do tráfego entre instâncias dentro da mesma sub-rede ou entre sub-redes (por exemplo, garantindo que um balanceador de carga possa se comunicar com seus grupos de destino).
  • Facilidade de Gerenciamento: Como são com estado, os SGs exigem menos regras e são menos propensos a erros do que gerenciar portas efêmeras com NACLs.

Quando Implementar Listas de Controle de Acesso de Rede

As NACLs são mais bem utilizadas para definir limites amplos em toda a rede e políticas de segmentação.

  • Políticas de Negação Amplas: Use regras NEGAR explícitas (Regra nº 100) para bloquear endereços IP ou intervalos de IP maliciosos específicos em toda uma sub-rede antes mesmo que o tráfego chegue às instâncias.
  • Segmentação de Sub-rede: Imponha limites rigorosos entre as camadas da sua arquitetura (por exemplo, garantindo que a NACL da sub-rede do banco de dados negue explicitamente todo o tráfego de entrada da internet, independentemente de como um SG possa ser configurado).
  • Requisitos de Conformidade: Certos padrões de conformidade podem exigir filtragem no nível da sub-rede, tornando as NACLs essenciais.
  • Filtragem de Protocolos Sem Estado: As NACLs são necessárias se você precisar filtrar protocolos sem estado que os SGs não conseguem gerenciar efetivamente por conta própria (embora isso seja raro para tráfego TCP/UDP padrão).

A Abordagem de Defesa em Profundidade

Em uma VPC típica e bem projetada, os fluxos de tráfego devem passar por uma NACL e um Grupo de Segurança. Se qualquer um dos controles de segurança negar o tráfego, o pacote é descartado.

  1. Fluxo de Entrada: O tráfego entra na sub-rede -> NACL verifica as regras -> O tráfego atinge a ENI da instância -> Grupo de Segurança verifica as regras -> O tráfego atinge a aplicação.
  2. Fluxo de Saída: A aplicação gera resposta -> Grupo de Segurança (verificação com estado aprovada) -> O tráfego sai da ENI da instância -> NACL verifica as regras -> O tráfego sai da sub-rede.

Ao alavancar a NACL para segmentação ampla e regras de negação, e o SG para permissões precisas, com estado e no nível da aplicação, você maximiza a eficácia da segurança, mantendo a simplicidade da configuração.

Conclusão

Grupos de Segurança e Listas de Controle de Acesso de Rede não são intercambiáveis; são ferramentas complementares projetadas para proteger diferentes camadas da sua AWS VPC. Os Grupos de Segurança fornecem a segurança operacional e focada na aplicação no nível da instância, priorizando a simplicidade através do estado. As Listas de Controle de Acesso de Rede fornecem uma barreira robusta e obrigatória no nível da sub-rede, oferecendo capacidades de negação explícitas e protegendo o limite da rede. Dominar as diferenças de escopo e estado garante que você projete arquiteturas VPC que não sejam apenas funcionais, mas também resilientes contra acesso não autorizado à rede.