Es el nivel de granularidad al que desea restringir el acceso a sus instancias.
Hay un par de puntos a tener en cuenta aquí:
- Las listas de control de acceso a la red son aplicables a nivel de subred, por lo que cualquier instancia en la subred con una NACL asociada seguirá las reglas de NACL. Ese no es el caso con los grupos de seguridad, los grupos de seguridad deben asignarse explícitamente a la instancia.
- De forma predeterminada, su vpc predeterminado tendrá una Lista de control de acceso a la red predeterminada que permitiría todo el tráfico, tanto entrante como saliente. Si desea restringir el acceso a nivel de subred, es una buena práctica crear un NACL personalizado y editarlo con las reglas de su elección y al editar también puede editar asociaciones de subred, donde asocia una subred con este NACL personalizado, ahora cualquier instancia en esta subred comenzará a seguir las reglas de NACL
- Las NACL no tienen estado a diferencia de los grupos de seguridad. Los grupos de seguridad tienen estado, si agrega una regla de entrada, por ejemplo, para el puerto 80, se permite automáticamente la salida, lo que significa que la regla de salida para ese puerto en particular no necesita agregarse explícitamente. Pero en las NACL debe proporcionar reglas explícitas entrantes y salientes
- En los grupos de seguridad no puede denegar el tráfico de una instancia en particular, de forma predeterminada, todo está denegado. Puede establecer reglas solo para permitir. Donde, como en las NACL, puede establecer reglas para negar y permitir. Ahí al negar y permitir solo las instancias de su elección. Tienes que tomar decisiones más granulares.
- Los grupos de seguridad evalúan todas las reglas en ellos antes de permitir un tráfico. Las NACL lo hacen en el orden de los números, de arriba a abajo como, si su regla # 0 dice permitir todo el tráfico HTTP y su regla # 100 dice no permitir el tráfico HTTP desde la dirección IP 10.0.2.156, no podrá negar el tráfico, porque la regla # 0 ya ha permitido el tráfico. Por lo tanto, es una buena práctica tener sus reglas de denegación primero en NACL y luego las reglas de permiso. La mejor práctica de AWS es numerar sus reglas en incrementos de 100 en NACL. Por negar reglas primero quiero decir, especificar reglas de denegación estrechas, como para puertos específicos solamente. Y luego escriba sus reglas de permiso.
Espero que esto haya ayudado.
- ¿Cómo usan las personas las cosas cifradas principales, si es imposible descifrar?
- Cómo monitorear mis sitios que alojo en mi servidor LINUX para ataques XSS
- Cómo encontrar la contraseña de Wi-Fi para un enrutador en una Mac sin la contraseña / privilegios de usuario de los administradores
- ¿Qué medidas puedo tomar para proteger por completo mi sistema Linux de un virus / troyano / keylogger que se planta a través de una fuente física (Red / USB / bios / HDD)? Esto incluye la inyección de código del gestor de arranque desde un sistema operativo externo o secuencia de comandos.
- ¿Cómo puedo determinar si alguien está pirateando mi cuenta de Facebook?