Was sind Sicherheitsgruppen und wie kontrollieren sie den Zugriff?

Question

Accepted Answer

**Sicherheitsgruppen** sind virtuelle Firewalls, die **eingehenden und ausgehenden Datenverkehr** zu AWS-Ressourcen (wie EC2-Instanzen) kontrollieren — sie definieren, welche Ports, Protokolle und Quellen erlaubt sind. Sie sind grundlegend für AWS-Netzwerksicherheit.

## Was Sicherheitsgruppen tun

```text
A SECURITY GROUP is a virtual firewall attached to resources (EC2, RDS, etc.):
  → INBOUND rules — what traffic can REACH the resource (port, protocol, source)
  → OUTBOUND rules — what traffic the resource can SEND OUT
  → only ALLOW rules (no explicit deny); everything not allowed is DENIED by default
  → STATEFUL — if inbound is allowed, the response is automatically allowed back
```

## Beispielregeln

```text
Inbound rules for a web server:
  Allow TCP 443 (HTTPS) from 0.0.0.0/0   → anyone can reach HTTPS
  Allow TCP 80  (HTTP)  from 0.0.0.0/0   → anyone can reach HTTP
  Allow TCP 22  (SSH)   from <your IP>/32 → ONLY your IP can SSH (not the whole world!)
→ everything else is blocked (default deny)
```

## Ein leistungsstarkes Muster: Referenzierung anderer Sicherheitsgruppen

```text
Rules can allow traffic from ANOTHER security group (not just IPs):
  → DB security group: allow port 5432 FROM the app-server security group
  → means: only the app servers (whatever their IPs) can reach the database
→ Tiered security: web SG → app SG → db SG (each layer only accepts from the previous)
```

## Sicherheitsgruppen vs. NACLs

```text
SECURITY GROUPS → at the RESOURCE level; stateful; allow-only; the primary tool
NETWORK ACLs (NACLs) → at the SUBNET level; stateless; allow AND deny rules;
  a secondary, coarser layer
→ Use security groups as the main control; NACLs for subnet-wide rules.
```

## Warum es wichtig ist

Das Verständnis von Sicherheitsgruppen ist wichtig, weil sie grundlegend für die **AWS-Netzwerksicherheit** sind — sie kontrollieren, welcher Datenverkehr Ihre Ressourcen erreichen kann — daher ist es essentielles praktisches Wissen für die sichere Bereitstellung von Ressourcen.

Sicherheitsgruppen fungieren als **virtuelle Firewalls**, die definieren, welcher Datenverkehr (Ports, Protokolle, Quellen) zu und von Ressourcen erlaubt ist, mit einem sicheren Standardmodell (nur Erlaubnisregeln; alles nicht explizit Erlaubte wird verweigert) und zustandsbewusstem Verhalten (Antworten auf erlaubten Datenverkehr werden automatisch zugelassen).

Das Verständnis, wie man Regeln korrekt konfiguriert, ist essentiell für die Sicherheit — zum Beispiel das Erlauben von HTTP/HTTPS von überall für einen Web-Server, aber **Einschränkung des SSH-Zugriffs auf spezifische IPs** (nicht das ganze Internet — eine wichtige gängige Praxis, da das Exposieren von SSH für die ganze Welt ein Sicherheitsrisiko darstellt).

Das **leistungsstarke Muster der Referenzierung anderer Sicherheitsgruppen** (Erlauben, dass die Datenbank-Sicherheitsgruppe Datenverkehr nur von der App-Server-Sicherheitsgruppe akzeptiert, unabhängig von deren IPs) ermöglicht saubere **abgestufte Sicherheitsarchitekturen** (Web → App → Datenbank, jede Schicht akzeptiert Datenverkehr nur von der vorherigen) — ein Best-Practice-Ansatz, der die Exposition begrenzt und das Prinzip der geringsten Berechtigung auf Netzwerkebene verfolgt.

Das Verständnis von **Sicherheitsgruppen vs. NACLs** (Sicherheitsgruppen auf Ressourcenebene als primäres, zustandsbewusstes, Erlaubnis-only-Tool; NACLs auf Subnetzebene als gröbere, zustandslose Sekundärschicht) klärt das geschichtete Netzwerksicherheitsmodell.

Da die Kontrolle des Netzwerkzugriffs auf Ressourcen grundlegend für AWS-Sicherheit ist (falsch konfigurierter Zugriff — wie zu offene Ports oder weltweit zugängliches SSH/Datenbanken — verursacht echte Schwachstellen), und da Sicherheitsgruppen der primäre Mechanismus dafür sind (mit dem Sicherheitsgruppen-Referenzierungsmuster, das sichere abgestufte Architekturen ermöglicht), ist das Verständnis von Sicherheitsgruppen essentielles, praktisch wichtiges AWS-Wissen für die sichere Bereitstellung von Ressourcen — ein Kern-Sicherheitsthema, bei dem eine ordnungsgemäße Konfiguration (angemessene Zugriffsbeschränkung, Verwendung von gestuften Sicherheitsgruppen-Referenzen) die Netzwerk-Level-Exposures direkt verhindert, die zu Sicherheitsverletzungen führen.