Network > Security Groups > 概要

セキュリティグループはインスタンスの送受信トラフィックを制御してインスタンスを保護する目的で使用します。ルールで指定したトラフィックは許可し、その他のトラフィックはブロックする「ポジティブセキュリティモデル(positive security model)」を使用します。

主な機能

  • サービスを初めて開始すると、基本セキュリティグループが1つ作成され、流入するすべてのトラフィックをブロックします。
    • したがって「ping」、「ssh」などのサービスも使用できないので、ルールを設定する必要があります。
    • Floating IPを使用した外部アクセスとプライベートIPを使用した内部アクセスに同じように適用されます。
  • セキュリティグループは「stateful」で動作するため、ルールで一度接続されたセッションは反対方向のルールがなくても許可されます。
    • 例えばインスタンスに向かうTCP 80の最初のパケットが「受信TCP PORT 80」ルールに基づいて通過した場合、インスタンスからTCP 80ポートを送信元にして転送されるパケットはブロックされません。
    • ただし、一定時間ルールにマッチするパケットが入らず、セッションの有効期限が切れると反対方向のパケットもブロックされます。
  • 基本セキュリティグループにはインスタンスから出るすべてのトラフィックのルールが設定されています。このルールを削除しない場合、インスタンスから始まるセッションは全て許可されます。
  • インスタンスには多数のセキュリティグループを設定できます。
  • ルールは1つずつ追加するより、範囲を指定する方が効率的です。ルールが増加すると性能の低下が発生する場合があります。
  • セッションの状態が合っていないトラフィックはブロックされることがあります。
  • IPプロトコルリストにないルールは定義して使用できます。 Well-known port
TOP