Operation App Demo

セキュリティグループとは¶

• セキュリティグループはインスタンス単位で設定する。
  • AWS 上のリソースに関連づけることが可能であり、リソースレベルでの通信を制御する。
• 通信状態を記録して、ステートフルな動作（発生した通信に対する応答は自動で許可）する。

ネットワークACLとは¶

• ネットワークACLは サブネット単位で全インスタンスに適用するファイアウォール機能
• システムやファイル、ネットワーク上のリソースなどへのアクセス可否の設定をリストにして制御する。
• 通信状態を記録しないため、ステートレス（発生した通信に対する応答は明示的に許可しないといけない）となる。
  • インバウンドとアウトバウンドの通信制御設定を明示的に設定する必要性がある。

採用¶

• 結論「セキュリティグループを採用」
• セキュリティグループはデフォルト通信拒否ルールである。
• 今回のインフラ構築ではリソースに対しての通信制御で十分に対応可能である、と判断した。
  • ネットワークACLはネットワークACLでは同一サブネット内の通信制御設定ができない。
  • セキュリティグループは送信元/先ルールをセキュリティグループIDで設定できる。

参考¶

• [初心者向け]VPCのメインネットワークACLとサブネットのネットワークACLの関係性について
• なぜネットワークACLでなくセキュリティグループで細かいトラフィック制御を行なうのか