Cosa sono i security group e come controllano l'accesso?

Question

Accepted Answer

I **security group** sono firewall virtuali che controllano il **traffico in ingresso e in uscita** verso le risorse AWS (come le istanze EC2) — definendo quali porte, protocolli e sorgenti sono consentiti. Sono fondamentali per la sicurezza di rete di AWS.

## Cosa fanno i security group

```text
A SECURITY GROUP is a virtual firewall attached to resources (EC2, RDS, etc.):
  → INBOUND rules — what traffic can REACH the resource (port, protocol, source)
  → OUTBOUND rules — what traffic the resource can SEND OUT
  → only ALLOW rules (no explicit deny); everything not allowed is DENIED by default
  → STATEFUL — if inbound is allowed, the response is automatically allowed back
```

## Regole di esempio

```text
Inbound rules for a web server:
  Allow TCP 443 (HTTPS) from 0.0.0.0/0   → anyone can reach HTTPS
  Allow TCP 80  (HTTP)  from 0.0.0.0/0   → anyone can reach HTTP
  Allow TCP 22  (SSH)   from <your IP>/32 → ONLY your IP can SSH (not the whole world!)
→ everything else is blocked (default deny)
```

## Un modello potente: fare riferimento ad altri security group

```text
Rules can allow traffic from ANOTHER security group (not just IPs):
  → DB security group: allow port 5432 FROM the app-server security group
  → means: only the app servers (whatever their IPs) can reach the database
→ Tiered security: web SG → app SG → db SG (each layer only accepts from the previous)
```

## Security group vs NACL

```text
SECURITY GROUPS → at the RESOURCE level; stateful; allow-only; the primary tool
NETWORK ACLs (NACLs) → at the SUBNET level; stateless; allow AND deny rules;
  a secondary, coarser layer
→ Use security groups as the main control; NACLs for subnet-wide rules.
```

## Perché è importante

Comprendere i security group è importante perché sono fondamentali per la **sicurezza di rete di AWS** — controllando quale traffico può raggiungere le tue risorse — quindi è conoscenza pratica essenziale per distribuire risorse in modo sicuro.

I security group agiscono come **firewall virtuali** che definiscono quale traffico (porte, protocolli, sorgenti) è consentito verso e da risorse, con un modello sicuro per impostazione predefinita (solo regole di autorizzazione; tutto ciò che non è esplicitamente consentito è negato) e un comportamento stateful (le risposte al traffico consentito sono automaticamente permesse).

Comprendere come configurare correttamente le regole è essenziale per la sicurezza — ad esempio, consentire HTTP/HTTPS da qualsiasi luogo per un server web ma **limitare l'accesso SSH a IP specifici** (non a tutto internet — una pratica importante e comune, poiché esporre SSH al mondo è un rischio di sicurezza).

Il **modello potente di fare riferimento ad altri security group** (permettere al security group del database di accettare traffico solo dal security group dei server applicativi, indipendentemente dai loro IP) abilita **architetture di sicurezza ben strutturate** (web → app → database, ogni livello accetta traffico solo dal precedente) — un approccio best-practice che limita l'esposizione e segue il principio del privilegio minimo a livello di rete.

Comprendere i **security group vs NACL** (security group a livello di risorsa come strumento primario, stateful e di sola autorizzazione; NACL a livello di subnet come livello secondario più grossolano e stateless) chiarisce il modello di sicurezza di rete stratificato.

Poiché controllare l'accesso di rete alle risorse è fondamentale per la sicurezza di AWS (l'accesso mal configurato — come porte troppo aperte o SSH/database accessibili da chiunque — causa vulnerabilità reali), e poiché i security group sono il meccanismo primario per questo (con il modello di riferimento ai security group che abilita architetture sicure stratificate), comprendere i security group è conoscenza AWS essenziale e praticamente importante per distribuire risorse in modo sicuro — un argomento di sicurezza fondamentale dove la corretta configurazione (limitare l'accesso appropriatamente, utilizzare riferimenti ai security group stratificati) previene direttamente le esposizioni a livello di rete che portano a violazioni della sicurezza.