【図で解説】セキュリティグループとネットワークACLの違いなんてない

AWS

わんころ
わんころ

「セキュリティグループ?!ネットワークACL!?」
「とりあえず、よくわからん!」
 
セキュリティグループとネットワークACLについて教えてほしいわん!

おっけーセキュリティグループとネットワークACLについて解説するよん

でいず~
でいず~

もくじ
1. セキュリティグループとは?
2. ネットワークACLとは
3. セキュリティグループとネットワークACLの違い
4. まとめ

AWSには「セキュリティグループ」「ネットワークACL」というセキュリティを提供するサービスがあります。

AWSを勉強し始めだとごっちゃになって覚えずらいので整理していきますね。

では、いってみましょう~♪

1. セキュリティグループとは?

【図で解説】セキュリティグループとネットワークACLは勘違いする【2秒勘違いをなくしましょう】

セキュリティグループ
EC2インスタンスに適用するファイアウォール機能

「?!?!?」理解できなくても大丈夫です。

1つずつ説明していきますよ。

EC2インスタンスとは「クラウド上にあるOSを載せた仮想サーバーのこと」です。要はインターネット通じて構築できるサーバーですね。

EC2インスタンスがわからない方はこちらの記事がオススメ

ファイアウォールは外部からの不正アクセスやサイバーテロ的な攻撃から守るインターネット上の城壁です。

内部からの不正もブロックできます。

例えば、自分のパソコンがウイルスに感染したとき、ウイルスが勝手にメールや他の通知手段で外にばらまこうとします。

そういったウイルス感染の拡大を防ぐために、パソコン内で発する怪しい動きを察知してポート(データのやりとりをするとこ)を塞いでくれたりします。

わんころ
わんころ

わいもファイアウォールに守られたいワン♡

…。

でいず~
でいず~

セキュリティグループは「EC2インスタンスという仮想サーバーへの不正アクセスや不正発信から守ってくれる城壁」ということですね。

EC2の周りをセキュリティグループが守っています。

わんポイント!
セキュリティグループはEC2インスタンスへの不正アクセスや不正発信から守る城壁

2. ネットワークACLとは

2. ネットワークACLとは

ネットワークACL
サブネット単位で設定するファイアウォール機能

サブネットとはVPC(クラウド上の土地)上に入っていい場所とダメな場所を区分けするものです。

VPCやサブネットの詳しい記事はこちら

サブネット上にEC2インスタンスを置くイメージなので、ネットワークACLはセキュリティグループよりも広範囲のファイアウォール機能ということになります。

イメージが追い付かなくなってしまうと思うので、図で見てみましょう。

VPCの中にサブネットがあってその周りをネットワークACLが守っています。

サブネットの中にはEC2インスタンスがあってその周りをセキュリティグループが守っています。

こんな風に見ると「守っているものは違えど、役割は一緒じゃん!」と思ってしまいますね。

話の続きは3.セキュリティグループとネットワークACLの違いで解説していきます。

わんポイント!
ネットワークACLはサブネット単位で設定するファイアウォール機能 セキュリティグループよりも外側に城壁を作るイメージ

3. セキュリティグループとネットワークACLの違い

3. セキュリティグループとネットワークACLの違い

  セキュリティグループ ネットワークACL
適用単位 インスタンス単位 サブネット単位
ルール評価 すべてのルールが即適用される 1から番号順にルールが適用される
ステータス ステートフル ステートレス
デフォルト動作 インバウンド(外から内へのアクセス)
→すべて拒否
アウトバウンド(内から外へのアクセス)
→すべて許可
インバウンド(外から内へのアクセス)
→すべて許可
アウトバウンド(内から外へのアクセス)
→すべて許可

 

新しい単語があるので、ひとつずつ解説していきます。

適用範囲については2章で説明しているので割愛します。

ルール評価というのは設定したアクセス制御をどのように適用するかという決まりごとです。ここは「フーン、そうなんだあ」くらいで大丈夫です。

ステートフルは行きの通信(リクエスト)をすると、その回答(レスポンス)を臨機応変に返してくれます。

このため、セキュリティグループはルールで許可した通信のレスポンスも自動的に許可されます。

ステートレスはリクエストしたら、レスポンスはいつも同じ結果を返してくれます。

このため、ネットワークACLは行きも帰りも通信制御が必要となります。

セキュリティグループのデフォルト動作はインバウンド(外から内へのアクセス)はすべて拒否していますが、アウトバウンド(内から外へのアクセス)はすべて許可しているので、外からの通信はできないようになっています。

ネットワークACLのデフォルト動作はインバウンドもアウトバウンドの通信をすべて許可しているので実際に使う場合には制御が必要となります。

ふたつの違いはここで全部を覚えられなくても使っていくうちに理解できるから、焦らなくて大丈夫だよん

でいず~
でいず~

わんポイント!
セキュリティグループはステートフルな制御ができる
ネットワークACLはステートレスな制御になる

4. まとめ

今日はのセキュリティグループとネットワークACLについて説明をしてきました。

ポートフォリオ作成でも必ず設定するファイアウォール機能ですので是非とも違いを理解してくださいね。

セキュリティグループ
EC2インスタンスに適用するファイアウォール機能

ネットワークACL
サブネット単位で設定するファイアウォール機能

最後にひとつ言っておくと合コンでセキュリティグループとネットワークACLの違いを説明できればモテるのでしっかり説明できるように整理してください。

(そういうイメージで覚えてくださいね(小声))
※注:実際に合コンで話したら周りに人がいなくなります。

無駄のない努力で楽しいエンジニアライフを♪

ではまた~