Tổng quan về dịch vụ Security Group

Đã sửa đổi vào Wed, 18 Tháng 10, 2023 tại 2:59 CH

Security Group là gì?

Security Group là một tường lửa ảo (Virtual Firewall) để điều khiển cơ chế truy cập vào máy ảo. Khi khởi tạo 1 máy ảo, bạn cần chỉ ra 1 hoặc nhiều security group. Và sau khi tạo 1 máy ảo bạn có thể thay đổi Security Group đó.


Security Group mặc định

Security Group mặc định có tên là “default” và được gán 1 ID định danh duy nhất. Bạn có thể thêm hoặc xoá bất kì rule nào trong Security Group default Rule mặc định của Security Group default là :


  • Cho phép tất cả traffic ngoài (ingress traffic) vào máy ảo.
  • Cho phép tất cả traffic trong (outgress traffic) máy ảo đi ra.

Security Group: rules


Các rule trong Security Group được dùng để lọc traffic sẽ được chia làm 2 bảng : ingressoutgress. Với ‘ingress ‘ là các rule tường lửa lọc chiều traffic đi vào máy ảo. Còn ‘outgress‘ là các rule tường lửa lọc chiều traffic đi ra từ máy ảo.


Security Group là một tường lửa dạng stateful, nên có thể track được các kết nối vào và ra cũng như hiểu được trạng thái của gói tin (xem gói tin có thuộc một kết nối đang được mở không). Ví dụ như kết nối traffic chiều vào ingress SSH thì phía outgress hệ thống Security Group sẽ hiểu phải cho phép kết nối chiều ra về SSH source IP phải được mở.


Mỗi rule của Security Group sẽ bao gồm 5 phần: ‘Type’, ‘Protocol’, ‘Port Range’, ‘Source’‘Description‘ áp dụng cho cả 2 bảng ‘ingress ‘ ‘outgress‘.


  • Type: một danh sách các giao thức dịch vụ phổ biến (well-known port) sẽ được hiển thị để bạn có thể lựa chọn nhanh chóng như SSH, RDP, HTTP,… Tất nhiên nếu bạn có nhu cầu khác bạn vẫn có thể tuỳ chỉnh thông tin giao thức bạn cần mở rule.

  • Protocol: thông thường phần này sẽ bị ẩn nếu bạn lựa chọn thông tin giao thức phổ biến ở phần ‘Type’. Còn nếu bạn lựa chọn việc tinh chỉnh (custom) thì bạn có thể chỉ định giao thức TCP hoặc UDP, ICMP..
  • Port Range: giá trị này quy định thông tin port cụ thể hoặc dải port bạn mong muốn rule lọc traffic phải kiểm duyệt. Nếu chọn custom rule thì bạn sẽ được chỉnh, còn chọn Type giao thức đã định sẵn thì không được.

  • Source: bạn có thể chỉ định giá trị dãy mạng subnet hoặc một địa chỉ IP cụ thể. Bạn cũng có thể chỉ định một thông tin Security Group khác được đính kèm sử dụng. Còn nếu bạn muốn bất cứ IP Public Internet nào cũng có thể truy cập được thì hãy sử dụng giá trị ‘Anywhere (0.0.0.0/0)’.

  • Description: phần này dùng để note lại thông tin miêu tả rule của bạn được tạo ra cho mục đích gì.

Bài viết này có hữu ích không?

Thật tuyệt!

Cám ơn phản hồi của bạn

Rất tiếc là chúng tôi không giúp được nhiều!

Cám ơn phản hồi của bạn

Hãy cho chúng tôi biết làm thế nào chúng tôi có thể cải thiện bài viết này!

Chọn ít nhất một trong những lý do

Đã gửi phản hồi

Chúng tôi đánh giá cao nỗ lực của bạn và sẽ cố gắng sửa bài viết