Skupiny zabezpečení jsou virtuální firewally, které řídí příchozí a odchozí provoz k prostředkům AWS (například instancí EC2) — definují, které porty, protokoly a zdroje jsou povoleny. Jsou fundamentální pro bezpečnost sítě AWS.
Co dělají skupiny zabezpečení
A SECURITY GROUP is a virtual firewall attached to resources (EC2, RDS, etc.):
→ INBOUND rules — what traffic can REACH the resource (port, protocol, source)
→ OUTBOUND rules — what traffic the resource can SEND OUT
→ only ALLOW rules (no explicit deny); everything not allowed is DENIED by default
→ STATEFUL — if inbound is allowed, the response is automatically allowed back
Příklady pravidel
Inbound rules for a web server:
Allow TCP 443 (HTTPS) from 0.0.0.0/0 → anyone can reach HTTPS
Allow TCP 80 (HTTP) from 0.0.0.0/0 → anyone can reach HTTP
Allow TCP 22 (SSH) from <your IP>/32 → ONLY your IP can SSH (not the whole world!)
→ everything else is blocked (default deny)
Silný vzor: reference na další skupiny zabezpečení
Rules can allow traffic from ANOTHER security group (not just IPs):
→ DB security group: allow port 5432 FROM the app-server security group
→ means: only the app servers (whatever their IPs) can reach the database
→ Tiered security: web SG → app SG → db SG (each layer only accepts from the previous)
Skupiny zabezpečení vs NACLs
SECURITY GROUPS → at the RESOURCE level; stateful; allow-only; the primary tool
NETWORK ACLs (NACLs) → at the SUBNET level; stateless; allow AND deny rules;
a secondary, coarser layer
→ Use security groups as the main control; NACLs for subnet-wide rules.
Proč to má smysl
Rozmění skupin zabezpečení je důležité, protože jsou fundamentální pro bezpečnost sítě AWS — řídí, jaký provoz může dosáhnout vašich prostředků — takže je to nezbytné praktické znalosti pro bezpečné nasazení prostředků.
Skupiny zabezpečení fungují jako virtuální firewally definující, jaký provoz (porty, protokoly, zdroje) je povolen do a ze zdrojů, se zabezpečeným výchozím modelem (pouze pravidla pro povolení; vše, co není explicitně povoleno, je zamítnuto) a stavovým chováním (odpovědi na povolený provoz jsou automaticky povoleny).
Rozmění toho, jak správně konfigurovat pravidla, je zásadní pro bezpečnost — například povolení HTTP/HTTPS odkudkoli pro webový server, ale omezení SSH přístupu na konkrétní IP adresy (ne celý internet — běžná, důležitá praktika, protože vystavení SSH světu je bezpečnostní riziko).
Silný vzor reference na další skupiny zabezpečení (umožňující databázové skupině zabezpečení přijímat provoz pouze ze skupiny zabezpečení aplikačních serverů, bez ohledu na jejich IP adresy) umožňuje čisté vrstvené bezpečnostní architektury (web → aplikace → databáze, každá vrstva přijímá provoz pouze z předchozí) — osvědčený přístup, který omezuje expozici a dodržuje princip nejmenšího oprávnění na úrovni sítě.
Rozmění skupin zabezpečení vs NACLs (skupiny zabezpečení na úrovni prostředku jako primární, stavový nástroj pouze pro povolení; NACLs na úrovni podsítě jako hrubší, bezstavová sekundární vrstva) objasňuje vrstvený model bezpečnosti sítě.
Protože řízení přístupu k prostředkům je fundamentální pro bezpečnost AWS (nesprávně nakonfigurovaný přístup — jako příliš otevřené porty nebo SSH/databáze přístupné z celého světa — způsobuje skutečné zranitelnosti) a protože skupiny zabezpečení jsou primárním mechanismem pro toto (se vzorem reference na skupiny zabezpečení umožňujícím bezpečné vrstvené architektury), je porozumění skupinám zabezpečení nezbytné, prakticky důležité znalosti AWS pro bezpečné nasazení prostředků — základní téma bezpečnosti, kde správná konfigurace (adekvátní omezení přístupu, použití vrstvených referencí skupin zabezpečení) přímo brání vystavením na úrovni sítě, která vedou k porušením bezpečnosti.