[AWS] Tìm hiểu về tường lửa AWS EC2 Security Group là gì ?

By
Quách Chí Cường
-

 Tìm hiểu về tường lửa AWS EC2 Security Group là gì ?Chúng ta sẽ tiếp tục hành trình của Series Tự học AWS – Amazon Web Services với một bài viết về dịch vụ tường lửa Security Group của dịch vụ AWS EC2 .  Dịch vụ Security Group này là gì ? Chúng ta có sử dụng thường xuyên hay không ? và tầm quan trọng ra sao đối với các máy chủ ảo EC2 Instance?

tìm hiểu ec2 security group

Có thể bạn cũng quan tâm chủ đề khác:
Hướng dẫn tạo EC2 Instance Amazon Linux hoặc Windows
Tìm hiểu về Amazon EC2 – Amazon Elastic Compute Cloud
Hướng dẫn đăng ký tài khoản AWS Free Tier miễn phí 12 tháng
Tìm hiểu về tài khoản AWS – AWS Account

AWS EC2 Security Group là gì ?

EC2 Security Group là gì ? Đây là một lớp tường lửa ảo được AWS phát triển và cung cấp như một bức tường lửa lọc các truy cập vào EC2 Instance hoặc ra từ EC2 Instance. Khi bạn khởi tạo một máy chủ ảo EC2 Instance thì instance sẽ được gán vào từ một đến nhiều Security Group cho instance đó. Với mỗi Security Group sẽ bao gồm rất nhiều bộ rule tường lửa kiểm soát traffic đến hoặc đi và bạn hoàn toàn có thể tinh chỉnh thêm/xoá các rule trong Security Group đó. Các rule mới sẽ được áp dụng cho máy chủ Instance mà Security Group đó được liên kết sử dụng.

aws security group

Có một điều thú vị đó là AWS EC2 Security Group không có rule ‘deny‘ nhưng nếu traffic truy cập không thoả mãn bất kì rule nào thì sẽ bị ‘drop‘ mặc định bởi firewall AWS Security Group.

Security Group mặc định

Security Group mặc định có tên là “default” và được gán 1 ID định danh duy nhất bởi AWS. Bạn có thể thêm hoặc xoá bất kì rule nào trong Security Group default Rule mặc định của Security Group default là :

  • Cho phép tất cả traffic ngoài (inbound traffic) vào Instance.
  • Cho phép tất cả traffic trong (outbound traffic) Instnace đi ra.

aws security group default

AWS Security Group tuỳ biến (custom)

Khi bạn khởi tạo một Security Groups bạn cần lưu ý các đặc điểm sau:
– Phải có thông tin tên Security Group.
– Phải có phần miêu tả (description) về Security Group.
– Trong một mạng network EC2-VPC thì Security Group phải có tên độc lập duy nhất không trùng lắp.
– Rule mặc định chiều inbound traffic: cấm tất cả traffic chiều vào.
– Rule mặc định chiều outbound traffic: cho phép tất cả traffic chiều ra.

aws security group custom

AWS Security Group: rules

Các rule trong Security Group được dùng để lọc traffic sẽ được chia làm 2 bảng : inboundoutbound . Với ‘Inbound‘ là các rule tường lửa lọc chiều traffic đi vào EC2 Instance. Còn ‘Outbound‘ là các rule tường lửa lọc chiều traffic đi ra từ EC2 Instance.

Security Group là một tường lửa dạng stateful, nên có thể track được các kết nối vào và ra cũng như hiểu được trạng thái của gói tin (xem gói tin có thuộc một kết nối đang được mở không). Ví dụ như kết nối traffic chiều vào inbound SSH thì phía outbound hệ thống Security Group sẽ hiểu phải cho phép kết nối chiều ra về SSH source IP phải được mở.

Mỗi rule của Security Group sẽ bao gồm 5 phần: ‘Type’, ‘Protocol’, ‘Port Range’, ‘Source’ và ‘Description‘ áp dụng cho cả 2 bảng ‘Inbound‘ và ‘Outbound‘.

aws security group rules

  • Type: một danh sách các giao thức dịch vụ phổ biến (well-known port – Danh sách các port dịch vụ phổ biến trên Internet) sẽ được hiển thị để bạn có thể lựa chọn nhanh chóng như SSH, RDP, HTTP,… Tất nhiên nếu bạn có nhu cầu khác bạn vẫn có thể tuỳ chỉnh thông tin giao thức bạn cần mở rule.
  • Protocol: thông thường phần này sẽ bị ‘Che mờ’ nếu bạn lựa chọn thông tin giao thức phổ biến ở phần ‘Type’. Còn nếu bạn lựa chọn việc tinh chỉnh (custom) thì bạn có thể chỉ định giao thức TCP hoặc UDP, ICMP..
  • Port Range: giá trị này quy định thông tin port cụ thể hoặc dải port bạn mong muốn rule lọc traffic phải kiểm duyệt. Nếu chọn custom rule thì bạn sẽ được chỉnh, còn chọn Type giao thức đã định sẵn thì không được.
  • Source: bạn có thể chỉ định giá trị dãy mạng subnet hoặc một địa chỉ IP cụ thể. Bạn cũng có thể chỉ định một thông tin AWS Security Group khác được đính kèm sử dụng. Còn nếu bạn muốn bất cứ IP Public Internet nào cũng có thể truy cập được thì hãy sử dụng giá trị ‘Anywhere (0.0.0.0/0)’.
  • Description: phần này dùng để note lại thông tin miêu tả rule của bạn được tạo ra cho mục đích gì.

Giới hạn của Security Group

Trước khi bạn lên kế hoạch xây dựng một hệ thống Security Groups phức tạp bao gồm cả trăm Security Groups cho một VPC đơn lẻ. Thì bạn cần nhận thức trước một số giới hạn (limit) cho phép của Security Group như sau :
– Chỉ được phép tạo 100 Security Group/VPC .
– Giới hạn 250 rule tường lửa Security Group cho mỗi card mạng của các máy chủ instance. Như vậy bạn có thể tính toán đơn giản là, tạo 5 Security Group x 50 rule hoặc 10 Security Group x 25 rule.
– Giới hạn chỉ 16 Security Group cho mỗi card mạng máy chủ instance.

Vậy là bạn đã tìm hiểu thành công AWS Security Group là gì rồi phải không nào ?! Hy vọng trong “Series Tự học AWS – Amazon Web Services” này sẽ tiếp tục mang đến những kiến thức bổ ích cho bạn. Nếu có thắc mắc gì đừng ngại comment trao đổi cùng Cuongquach.com nhé.

Nguồnhttps://cuongquach.com

Previous articleHướng dẫn cài đặt Litespeed Web Server trên CentOS 7
Next articleTop 15 sự khác nhau giữa CentOS 6 và CentOS 7
Quách Chí Cường
https://cuongquach.com/
Bạn đang theo dõi website "https://cuongquach.com/" nơi lưu trữ những kiến thức tổng hợp và chia sẻ cá nhân về Quản Trị Hệ Thống Dịch Vụ & Mạng, được xây dựng lại dưới nền tảng kinh nghiệm của bản thân mình, Quách Chí Cường. Hy vọng bạn sẽ thích nơi này !

BÀI VIẾT LIÊN QUANBÀI VIẾT CÙNG TÁC GIẢ