Центр знаний DevOps
Центр знаний DevOps

Группы безопасности (Security Groups) против Сетевых списков контроля доступа (Network ACLs): Выбор брандмауэра для вашей AWS VPC

Ориентируйтесь в сложностях безопасности AWS VPC, освоив различия между Группами безопасности (SG) и Сетевыми списками контроля доступа (NACL). Это экспертное руководство объясняет область действия, состояние (statefulness) и оценку правил обоих механизмов. Узнайте, почему SG идеальны для детальной, отслеживающей состояние защиты экземпляров, в то время как NACL необходимы для широкой, без сохранения состояния (stateless) сегментации подсетей и политик явного запрета. Внедрите надежную многоуровневую стратегию брандмауэра для вашей облачной инфраструктуры.

36 просмотров

Группы безопасности против сетевых списков контроля доступа (NACL): Выбор межсетевого экрана AWS VPC

При проектировании безопасной среды виртуального частного облака (VPC) в Amazon Web Services (AWS) администраторы полагаются на несколько уровней контроля для управления сетевым трафиком. Два основных компонента для фильтрации трафика на сетевом уровне — это группы безопасности (SG) и сетевые списки контроля доступа (NACL).

Хотя оба действуют как виртуальные межсетевые экраны и используют правила для управления входящим и исходящим трафиком, они работают на принципиально разных уровнях архитектуры VPC и используют различные механизмы для оценки правил. Понимание этих различий — особенно их области применения, отслеживания состояния и обработки правил — имеет решающее значение для создания надежной и соответствующей требованиям политики сетевой безопасности. Это руководство представляет собой всестороннее сравнение и объясняет, как эффективно использовать как SG, так и NACL для многоуровневой защиты.

Роль межсетевых экранов в AWS VPC

AWS обеспечивает сетевую безопасность на двух основных уровнях в пределах VPC:

  1. Уровень экземпляра (Группы безопасности): Действует как межсетевой экран для конкретных экземпляров EC2 или ресурсов (таких как базы данных RDS или эластичные балансировщики нагрузки). Он контролирует трафик к сетевому интерфейсу и от него.
  2. Уровень подсети (Сетевые списки контроля доступа): Действует как без сохранения состояния межсетевой экран для целых подсетей, контролируя поток трафика, входящего или выходящего из границы подсети.

Глубокое погружение в группы безопасности (SG)

Группы безопасности функционируют как основной, детальный межсетевой экран для отдельных ресурсов. Они с сохранением состояния и работают на уровне 4 (транспортный уровень) модели OSI.

Ключевые характеристики групп безопасности

Характеристика Описание Последствия использования
Область применения Применяется непосредственно к эластичному сетевому интерфейсу (ENI) экземпляра. Контролирует поток трафика к экземпляру и от него самого.
Сохранение состояния С сохранением состояния. Если входящий запрос явно разрешен, соответствующий ответный трафик (исходящий ответ) автоматически разрешается, независимо от исходящих правил. Упрощает настройку; необходимо определить только направление инициирующего трафика.
Тип правила Только разрешение. Явные правила запрета невозможны. Трафик, не соответствующий явному правилу ALLOW (РАЗРЕШИТЬ), неявно запрещается. Фокусируется на определении того, что разрешено.
Оценка Все правила оцениваются перед принятием решения. Они не нумерованы, и неявный DENY (ЗАПРЕТ) не обрабатывается до тех пор, пока не будут выполнены все правила ALLOW. Порядок не имеет значения; все правила считаются одинаково.

Пример настройки группы безопасности

Чтобы разрешить доступ по SSH (порт 22) к экземпляру EC2, вам нужно только одно входящее правило. Исходящее правило для ответа SSH обрабатывается автоматически благодаря сохранению состояния SG.

Тип Протокол Диапазон портов Источник Описание
Входящий TCP 22 0.0.0.0/0 (или конкретный IP-адрес администратора) Разрешить доступ по SSH
Исходящий Все Все 0.0.0.0/0 (По умолчанию: Разрешает весь трафик, но это может быть ограничено при необходимости) 
# Концептуальное представление потока с сохранением состояния
Пользователь (IP-адрес источника) --> [Входящее правило SG: РАЗРЕШИТЬ 22] --> Экземпляр EC2
Экземпляр EC2 (Ответ) --> [Неявно отслеживается состояние] --> Пользователь (Ответ получен)

Совет по лучшим практикам: Всегда определяйте правила групп безопасности, руководствуясь принципом наименьших привилегий. По возможности, ограничивайте диапазоны IP-адресов источника вместо разрешения 0.0.0.0/0.

Глубокое погружение в сетевые списки контроля доступа (NACL)

Сетевые списки контроля доступа (NACL) обеспечивают второй уровень защиты, действуя как фильтр без сохранения состояния на границе подсети. Они мощны для сегментации сети и общих политик запрета.

Ключевые характеристики сетевых списков контроля доступа

Характеристика Описание Последствия использования
Область применения Применяется ко всей подсети VPC. Подсеть может быть связана только с одним NACL за раз. Контролирует весь трафик, входящий или покидающий подсеть, затрагивая все экземпляры внутри нее.
Сохранение состояния Без сохранения состояния. Необходимо явно разрешать как входящие запросы, так и соответствующие исходящие ответы. Требует тщательной настройки для ответного трафика (эфемемерных портов).
Тип правила Разрешение и запрет. Можно явно определить правила для разрешения или блокировки трафика. Отлично подходит для блокировки известных вредоносных IP-адресов или запрета определенных протоколов в масштабах всей сети.
Оценка Правила нумеруются (от 1 до 32766) и оцениваются последовательно, начиная с наименьшего номера. Применяется первое совпавшее правило. Порядок правил критически важен. Неявное правило запрета (последнее обрабатываемое правило) запрещает все, что не было явно разрешено.

Обработка трафика без сохранения состояния (эфемемерные порты)

Поскольку NACL не сохраняют состояние, необходимо учитывать эфемемерные порты, используемые клиентами, подключающимися к вашим серверам. Когда клиент инициирует соединение, он использует порт назначения (например, 80 для HTTP) и порт источника с высоким номером (диапазон эфемемерных портов, обычно 1024-65535).

Чтобы разрешить веб-трафик (HTTP) в подсеть, вам нужны два правила:

  1. Входящее правило: Разрешает трафик на порт назначения (например, 80).
  2. Исходящее правило: Разрешает ответный трафик обратно клиенту, используя эфемемерные порты источника.
№ правила Тип Протокол Диапазон портов Источник/Назначение Действие правила
100 Входящий TCP 80 0.0.0.0/0 РАЗРЕШИТЬ (Веб-трафик внутрь)
110 Исходящий TCP 1024-65535 0.0.0.0/0 РАЗРЕШИТЬ (Веб-ответ наружу - Эфемемерные порты)
* Неявный запрет Все Все Все ЗАПРЕТИТЬ (Обрабатывается последним)

Предупреждение: Если вы упустите соответствующее исходящее правило для эфемемерных портов в NACL, трафик достигнет экземпляра (благодаря входящему правилу), но ответ будет отброшен на границе подсети, что приведет к тайм-аутам соединения.

Сводка сравнения: SG против NACL

Следующая таблица обобщает ключевые различия между двумя типами межсетевых экранов:

Характеристика Группа безопасности (SG) Сетевой список контроля доступа (NACL)
Область применения Уровень экземпляра/ENI Уровень подсети
Состояние С сохранением состояния Без сохранения состояния
Типы правил Только разрешение Разрешение и запрет
Оценка правил Оцениваются все правила, порядок не важен. Правила оцениваются последовательно по номеру (начиная с наименьшего); совпадение первого правила является решающим.
Поведение по умолчанию Запрещает весь входящий трафик, разрешает весь исходящий (если не ограничено). NACL по умолчанию разрешает весь входящий/исходящий трафик. Пользовательские NACL запрещают весь входящий/исходящий трафик.
Влияние на трафик Применяет правила только в том случае, если трафик предназначен для связанного ресурса или исходит от него. Фильтрует трафик, проходящий через границу подсети, затрагивая все ресурсы в подсети.

Выбор правильного межсетевого экрана: сценарии и лучшие практики

Успешная безопасность VPC полагается на совместное использование SG и NACL в многоуровневом подходе (многоуровневая защита).

Когда отдавать предпочтение группам безопасности

Группы безопасности должны быть основным инструментом для фильтрации сетевого доступа благодаря их сохранению состояния и возможности ссылаться на другие SG, что упрощает настройку приложений.

  • Детальный контроль приложений: Используйте SG для точного определения портов и протоколов, необходимых для конкретного приложения (например, разрешая трафик только по порту 3306 из SG веб-сервера в SG базы данных).
  • Внутренняя связь: Управляйте безопасностью трафика между экземплярами в пределах одной подсети или между подсетями (например, гарантируя, что балансировщик нагрузки может взаимодействовать со своими целевыми группами).
  • Простота управления: Поскольку они сохраняют состояние, SG требуют меньше правил и менее подвержены ошибкам, чем управление эфемемерными портами с помощью NACL.

Когда внедрять сетевые списки контроля доступа

NACL лучше всего использовать для установки широких сетевых границ и политик сегментации.

  • Широкие политики запрета: Используйте явные правила DENY (Правило № 100) для блокировки конкретных вредоносных IP-адресов или диапазонов IP-адресов по всей подсети, прежде чем трафик достигнет экземпляров.
  • Сегментация подсетей: Обеспечьте строгие границы между слоями вашей архитектуры (например, гарантируя, что NACL подсети базы данных явно запрещает весь входящий трафик из Интернета, независимо от конфигурации SG).
  • Требования к соответствию: Определенные стандарты соответствия могут требовать фильтрации на уровне подсети, что делает NACL необходимыми.
  • Фильтрация протоколов без сохранения состояния: NACL необходимы, если вам нужно фильтровать протоколы без сохранения состояния, которые SG не могут эффективно управлять самостоятельно (хотя это редкость для стандартного трафика TCP/UDP).

Подход многоуровневой защиты

В типичной, хорошо спроектированной VPC трафик должен проходить как через NACL, так и через группу безопасности. Если какой-либо из этих элементов безопасности отклоняет трафик, пакет отбрасывается.

  1. Входящий поток: Трафик входит в подсеть -> NACL проверяет правила -> Трафик достигает ENI экземпляра -> Группа безопасности проверяет правила -> Трафик достигает приложения.
  2. Исходящий поток: Приложение генерирует ответ -> Группа безопасности (проверка состояния пройдена) -> Трафик покидает ENI экземпляра -> NACL проверяет правила -> Трафик покидает подсеть.

Используя NACL для грубой сегментации и правил запрета, а SG — для точных, с сохранением состояния, разрешений на уровне приложений, вы максимизируете эффективность безопасности, сохраняя при этом простоту настройки.

Заключение

Группы безопасности и сетевые списки контроля доступа не взаимозаменяемы; это взаимодополняющие инструменты, предназначенные для защиты различных уровней вашей AWS VPC. Группы безопасности обеспечивают операционную безопасность, ориентированную на приложения, на уровне экземпляра, отдавая предпочтение простоте благодаря сохранению состояния. Сетевые списки контроля доступа обеспечивают надежный, обязательный барьер на уровне подсети, предлагая возможности явного запрета и защищая границу сети. Освоение различий в области применения и сохранении состояния гарантирует, что вы будете проектировать архитектуры VPC, которые не только функциональны, но и устойчивы к несанкционированному сетевому доступу.