¿Qué son los network access control list (ACL)?
Los network access control list son otra capa de seguridad que actúa como un firewall, son considerados stateless a nivel de la subred. Un ACL consiste en un numero de reglas que AWS evalúa en orden, empezando desde la que tiene la menor numeración, para determinar si el trafico es permitido para entrada o salida de cualquier de las subredes asociadas con el ACL.
Los VPCs son creados con un ACL por default que es modificable, se asocia por default con cada subred que desea permita tráfico de entrada y salida.
Cuando se crea un ACL personalizado, su configuración inicial restringirá el trafico de entrada y salida hasta que se agreguen reglas que permitan lo contrario.
Es posible crear sus propios ACLs con reglas similares a las de su security groups con el fin de agregar una capa de seguridad a su VPC, o puede ser que utilice el ACL por default que no filtra el trafico que atraviesa la red. Cada subred debe tener asociado un ACL.
Network access control list vs security group
| Security Group | Network ACL |
|---|---|
| Opera “a nivel de la instancia” | Opera “a nivel de la subred” |
| Soporta “solo allow rules” | Soporta “allow y deny rules” |
| Stateful: El tráfico de retorno depende de la “regla de entrada” | Stateless: El tráfico de retorno debe ser definido explícitamente por reglas “allow” |
| AWS evalúa todas las reglas antes de decidir que trafico permitir | AWS procesa las reglas conforme a su numero |
| Se aplica de manera selectiva a las instancias | Se aplica a todas las instancias asociadas a la subred |