¿Cuál es la diferencia entre los grupos de seguridad y la lista de control de acceso a la red en AWS?

Es el nivel de granularidad al que desea restringir el acceso a sus instancias.

Hay un par de puntos a tener en cuenta aquí:

  1. Las listas de control de acceso a la red son aplicables a nivel de subred, por lo que cualquier instancia en la subred con una NACL asociada seguirá las reglas de NACL. Ese no es el caso con los grupos de seguridad, los grupos de seguridad deben asignarse explícitamente a la instancia.
  2. De forma predeterminada, su vpc predeterminado tendrá una Lista de control de acceso a la red predeterminada que permitiría todo el tráfico, tanto entrante como saliente. Si desea restringir el acceso a nivel de subred, es una buena práctica crear un NACL personalizado y editarlo con las reglas de su elección y al editar también puede editar asociaciones de subred, donde asocia una subred con este NACL personalizado, ahora cualquier instancia en esta subred comenzará a seguir las reglas de NACL
  3. Las NACL no tienen estado a diferencia de los grupos de seguridad. Los grupos de seguridad tienen estado, si agrega una regla de entrada, por ejemplo, para el puerto 80, se permite automáticamente la salida, lo que significa que la regla de salida para ese puerto en particular no necesita agregarse explícitamente. Pero en las NACL debe proporcionar reglas explícitas entrantes y salientes
  4. En los grupos de seguridad no puede denegar el tráfico de una instancia en particular, de forma predeterminada, todo está denegado. Puede establecer reglas solo para permitir. Donde, como en las NACL, puede establecer reglas para negar y permitir. Ahí al negar y permitir solo las instancias de su elección. Tienes que tomar decisiones más granulares.
  5. Los grupos de seguridad evalúan todas las reglas en ellos antes de permitir un tráfico. Las NACL lo hacen en el orden de los números, de arriba a abajo como, si su regla # 0 dice permitir todo el tráfico HTTP y su regla # 100 dice no permitir el tráfico HTTP desde la dirección IP 10.0.2.156, no podrá negar el tráfico, porque la regla # 0 ya ha permitido el tráfico. Por lo tanto, es una buena práctica tener sus reglas de denegación primero en NACL y luego las reglas de permiso. La mejor práctica de AWS es numerar sus reglas en incrementos de 100 en NACL. Por negar reglas primero quiero decir, especificar reglas de denegación estrechas, como para puertos específicos solamente. Y luego escriba sus reglas de permiso.

Espero que esto haya ayudado.

Related Content

Gestión de claves: ¿Por qué el uso de documentos electrónicos disponibles al público como pads únicos no proporciona un cifrado esencialmente irrompible?

¿Qué tan grave es la falta de talento en ciberseguridad?

¿Cómo puedo aumentar la seguridad de un sitio web de ser pirateado?

¿Hay algún requisito para el software antivirus si tengo Windows Defender en mi computadora?

¿Por qué se llama al error Heartbleed una de las mayores amenazas de seguridad que Internet ha visto?

  1. Los grupos de seguridad se aplican a nivel de instancia. Las NACL se aplican a nivel de subred (por lo tanto, esto también se aplicaría a todas las instancias en esa subred).
  2. Los SG tienen estado y los NACL no tienen estado. Con estado significa que si permite el flujo de tráfico en una dirección, no necesita agregar una regla en la otra dirección para que la respuesta regrese.
  3. Se pueden aplicar múltiples SG a una instancia. Pero, solo una NACL puede asociarse a una subred.

Recomiendo ver los siguientes videos para que quede claro.

Michael Sheehy
  1. El grupo de seguridad de forma predeterminada es ‘Denegar todo’ entrante. ACL por defecto es ‘Permitir todo’ tanto entrantes como salientes.
  2. En ACL puede especificar permitir y denegar. En SG, solo puede especificar entradas permitidas.
  3. Los grupos de seguridad tienen estado, es decir, si abre el puerto de entrada 80, también se abrirá automáticamente el puerto de salida 80. En una ACL, debe hacer esto manualmente tanto para la entrada como para la salida, es decir, sin estado.
  4. Los grupos de seguridad se aplican a recursos individuales. es decir, EC2, RDS, etc. ACL se aplica a nivel de red, es decir, VPC.
  5. Las ACL tienen prioridad a medida que el tráfico llega antes que el grupo de Seguridad. Si el puerto 80 está bloqueado en la ACL, no pasará al grupo de seguridad incluso si está permitido en el grupo de seguridad.
Michael Sheehy

Los grupos de seguridad en una VPC especifican qué tráfico está permitido hacia o desde una instancia de Amazon EC2. Las ACL de red operan a nivel de subred y evalúan el tráfico que ingresa y sale de una subred. Las ACL de red se pueden usar para establecer las reglas Permitir y Denegar. Las ACL de red no filtran el tráfico entre instancias en la misma subred. Además, las ACL de red realizan un filtrado sin estado mientras que los grupos de seguridad realizan un filtrado con estado.

Esto es algo que también tuve problemas para entender. Terminé haciendo un blog y un video sobre eso espero que te ayude a entenderlo un poco mejor.

Las diferencias entre los grupos de seguridad y las NACL en los servicios web de Amazon

Olivier Cas

Los grupos de seguridad en una VPC especifican qué tráfico está permitido hacia o desde una instancia de Amazon EC2. Las ACL de red operan a nivel de subred y evalúan el tráfico que ingresa y sale de una subred. Las ACL de red se pueden usar para establecer las reglas Permitir y Denegar. Las ACL de red no filtran el tráfico entre instancias en la misma subred. Además, las ACL de red realizan un filtrado sin estado mientras que los grupos de seguridad realizan un filtrado con estado.

Sandeep Bisht

Grupos de seguridad solo admite reglas Permitir.

La red ACL admite las reglas Permitir y Denegar.

El grupo de seguridad tiene estado , cualquier cambio aplicado a una regla entrante se aplica automáticamente a una regla saliente.

La red ACL es sin estado Los cambios aplicados a los entrantes no se aplicarán al grupo de seguridad.

Los grupos de seguridad están vinculados a una instancia.

Las ACL de red están vinculadas a la subred.

El grupo de seguridad es la primera capa de la defensa.

Red ACL es la segunda capa de la defensa.

Grupo de seguridad se aplican todas las reglas.

Las reglas de red ACL se aplican en orden, con las reglas con un número menor procesadas primero.

Si planea tomar el examen, la diferencia entre apátridas y apátridas es muy importante. Esta es una buena publicación sobre las diferencias en detalle.

Sandeep Bisht

Este es un punto común de confusión para muchas personas. Existen varias diferencias clave entre los grupos de seguridad y las ACL de red. Pero lo importante para entender son:

  • Los grupos de seguridad están a nivel de instancia y con estado
  • Las ACL de red están en el nivel de subred y no tienen estado

Para obtener una explicación completa, siga el siguiente enlace a mi curso sobre VPC. La naturaleza práctica de mi curso ayuda a las personas a comprender mejor.

AWS Virtual Private Cloud (VPC): ¡Aprendizaje práctico!

Michael Sheehy

Cuando inicialmente comienza a trabajar en AWS, hay muchos conceptos que debe aprender. Este es uno con el que tuve dificultades reales. Lo encontré muy confuso. Entonces, hice un video gratuito para ayudarlo a aclarar cualquier confusión que pueda tener y lo hago enfatizando los conceptos importantes y brindando ejemplos del mundo real de grupos de seguridad y NACL.

Puede encontrar un enlace al video a continuación.

Video gratis – Las diferencias entre los grupos de seguridad y las NACL en los servicios web de Amazon – Capacitación de certificación en la nube

Olivier Cas

Escribimos sobre este tema en nuestra reciente publicación de blog => [AWS vs Azure] Grupos de seguridad

Da la respuesta para AWS y Azure. Avíseme si esto es útil.

Abdennour Toumi
  • La red ACL es un firewall para toda la subred.
  • El grupo de seguridad es firewall para la única máquina (instancia ec2).
Michael Sheehy

More Interesting

¿Cómo usamos antivirus gratis para lappy?

¿Es posible iniciar sesión en una computadora sin contraseña? En caso afirmativo, ¿cuáles son los pasos?

Tengo una computadora portátil Dell con procesador i3. A pesar de que un antivirus instalado es lento. ¿Dónde está la salida?

¿Por qué no puedo abrir Norton?

¿PGP está a salvo de la NSA?

¿Qué tan seguro es net2ftp?

¿El sistema operativo OpenBSD es seguro y confiable?

¿Cuáles son las principales prácticas de prueba de seguridad para una aplicación web?

¿Cuáles son las diferencias y similitudes entre la aplicación web y la ingeniería inversa binaria?

¿En qué se diferencia el producto Wildfire de Palo Alto Network del producto sandboxing de FireEye?

¿Podría la UE exigir que los fabricantes de computadoras no incluyan el spyware NSA en sus productos?

¿Equifax sigue siendo una de las tres principales agencias de informes de crédito ahora que el IRS ha suspendido su contrato con ellas? ¿O la credibilidad de la empresa ha sido destruida por su violación de datos? ¿Cómo afectarán estos desarrollos a la empresa y a los consumidores?

¿Es el nuevo satélite 'a prueba de piratería' de China realmente a prueba de piratería?

¿Hay un arma cibernética que sea equivalente a una bomba nuclear? (Solo presiona un botón e Internet se dispara)

¿Cómo identifica McAfee un virus?