¿Qué es un security group?
Un security group es un firewall (muro de fuegos) virtual que controla la entrada y salida de tráfico de los recursos de AWS y las instancias de EC2. Todas las instancias deben tener asociado un security group. Si un security group no es especificado al momento de crear una instancia, entonces la instancia utiliza por default el grupo de seguridad del VPC. El grupo de seguridad por default permite la comunicación de los recursos dentro del grupo de seguridad, permitiendo el tráfico de salida y denegando cualquier otro tipo de tráfico. Es posible cambiar estas reglas por default, pero no eliminar el grupo.
Para cada grupo de seguridad se agregan reglas, que controlar el tráfico de entrada a las instancias y otro grupo de reglas que controlan el tráfico de salida.
¿Cuáles son los puntos a considerar para utilizar los security groups?
-
Se pueden crear hasta 500 grupos para cada VPC.
-
Se pueden agregar hasta 50 reglas de entrada y 50 de salida para cada grupo. Si se necesitan mas de 100 por instancia, se pueden asignar hasta 5 grupos simultáneamente con cada interface de red.
-
Se pueden especificar reglas tipo allow, pero no tipo deny. Esto es una diferencia importante entre los Security Groups vs Access Network Lists.
-
Puede especificar reglas para tráfico de entrada y salida.
-
Por default, no hay tráfico de entrada permitido hasta que se agregue una regla que lo permita en el security group.
-
Por default cada security group nuevo tiene una regla que permite todo el tráfico de salida. Se puede eliminar esta regla y agregar reglas especificas para tráfico especifico.
-
Los security group son stateful, esto quiere decir que las reglas que permitan tráfico de entrada permitirán que exista el mismo tráfico para la salida sin importar el tipo de reglas de tráfico de salida existentes. Y el mismo caso para tráfico que se autoriza la salida, se autorizará la entrada. Esta es una diferencia crucial con los ACLs.
-
Las instancias asociadas con el mismo grupo de seguridad no pueden hablar entre si al menos que se agreguen reglas que así lo permitan (con la excepción del grupo de seguridad por default en el cual ya viene habilitada esta opción).
-
Usted puede cambiar la seguridad de los grupos con los cuales una instancia es asociada después de ser lanzada, y los cambios tomaran efecto inmediatamente.