Mitä ovat suojaryhmiä ja miten ne hallitsevat pääsyä?

Question

Accepted Answer

**Suojaryhmiä** ovat virtuaaliset palomuurit, jotka hallitsevat **saapuvan ja lähtevän liikenteen** AWS-resursseihin (kuten EC2-instansseihin) — määrittelemällä mitkä portit, protokollat ja lähteet ovat sallittuja. Ne ovat keskeisiä AWS-verkon turvallisuuden kannalta.

## Mitä suojaryhmiä tekevät

```text
A SECURITY GROUP is a virtual firewall attached to resources (EC2, RDS, etc.):
  → INBOUND rules — what traffic can REACH the resource (port, protocol, source)
  → OUTBOUND rules — what traffic the resource can SEND OUT
  → only ALLOW rules (no explicit deny); everything not allowed is DENIED by default
  → STATEFUL — if inbound is allowed, the response is automatically allowed back
```

## Esimerkkiräännöt

```text
Inbound rules for a web server:
  Allow TCP 443 (HTTPS) from 0.0.0.0/0   → anyone can reach HTTPS
  Allow TCP 80  (HTTP)  from 0.0.0.0/0   → anyone can reach HTTP
  Allow TCP 22  (SSH)   from <your IP>/32 → ONLY your IP can SSH (not the whole world!)
→ everything else is blocked (default deny)
```

## Tehokas malli: muiden suojaryhmien viittaaminen

```text
Rules can allow traffic from ANOTHER security group (not just IPs):
  → DB security group: allow port 5432 FROM the app-server security group
  → means: only the app servers (whatever their IPs) can reach the database
→ Tiered security: web SG → app SG → db SG (each layer only accepts from the previous)
```

## Suojaryhmiä vs NACL:t

```text
SECURITY GROUPS → at the RESOURCE level; stateful; allow-only; the primary tool
NETWORK ACLs (NACLs) → at the SUBNET level; stateless; allow AND deny rules;
  a secondary, coarser layer
→ Use security groups as the main control; NACLs for subnet-wide rules.
```

## Miksi sillä on merkitystä

Suojarypien ymmärtäminen on tärkeää, koska ne ovat keskeisiä **AWS-verkon turvallisuuden** kannalta — ne hallitsevat mitä liikennettä voi saavuttaa resurssejasi — joten se on olennaista käytännöllistä tietoa resurssien turvalliseen käyttöönottoon.

Suojaryhmiä toimivat **virtuaalisina palomuurina**, jotka määrittelevät mikä liikenne (portit, protokollat, lähteet) on sallittu ja resursseista, turvallisella oletusperiaatteella (vain sallintasäännöt; kaikki mikä ei ole nimenomaisesti sallittu estetään) ja tilallisella toiminnalla (vastaukset sallitulle liikenteelle sallitaan automaattisesti).

Säännösten oikean konfiguroinnin ymmärtäminen on olennaista turvallisuuden kannalta — esimerkiksi HTTP/HTTPS-liikenteen salliminen kaikkialta verkkosivupalvelimella mutta **SSH-pääsyn rajoittaminen tietyille IP-osoitteille** (ei koko Internetille — tärkeä, yleinen käytäntö, koska SSH:n altistaminen maailmalle on turvallisuusriski).

**Tehokas malli muiden suojarypien viittaamiselle** (tietokannan suojarypien salliminen hyväksynnän liikenne vain sovelluspalvelimien suojarypistä, niiden IP-osoitteista riippumatta) mahdollistaa puhtaan **porrastetun turvallisuusarkkitehtuurin** (web → app → tietokanta, kukin taso hyväksyy liikenteen vain edellisestä) — parhaaksi käytännöksi tunnustettu lähestymistapa, joka rajoittaa altistusta ja noudattaa vähimmäisoikeuuksien periaatetta verkkotasolla.

**Suojarypien vs NACL:ien** ymmärtäminen (suojaryhmiä resursssitasolla ensisijaisena, tilallisena, vain sallinto-välineenä; NACL:t aliverkkotasolla karkeampana, tilattomana toisena tasona) selventää kerrostetun verkonturvallisuusmallin.

Koska verkon pääsyn hallinta resursseihin on olennaista AWS-turvallisuuden kannalta (väärin konfiguroitu pääsy — kuten liian avoimet portit tai maailmanlaajuisesti saavutettava SSH/tietokannat — aiheuttaa oikeita haavoittuvuuksia), ja koska suojaryhmiä ovat päämekanismi tälle (suojaryhmän viittaamisen malli mahdollistaa suojatut porrastetut arkkitehtuurit), suojarypien ymmärtäminen on olennaista, käytännöllisesti tärkeää AWS-osaamista resurssien turvalliseen käyttöönottoon — perusturvallisuuden aihe, jossa oikea konfiguraatio (pääsyn sopiva rajoittaminen, porrastettujen suojaryhmiä-viittausten käyttö) estää suoraan verkkotason altistukset, jotka johtavat tietomurtoihin.