Wat zijn security groups en hoe controleren zij toegang?

Question

Accepted Answer

**Security groups** zijn virtuele firewalls die **inbound en outbound verkeer** naar AWS-resources (zoals EC2-instanties) controleren — ze definiëren welke poorten, protocollen en bronnen zijn toegestaan. Ze zijn fundamenteel voor AWS-netwerkbeveiliging.

## Wat security groups doen

```text
A SECURITY GROUP is a virtual firewall attached to resources (EC2, RDS, etc.):
  → INBOUND rules — what traffic can REACH the resource (port, protocol, source)
  → OUTBOUND rules — what traffic the resource can SEND OUT
  → only ALLOW rules (no explicit deny); everything not allowed is DENIED by default
  → STATEFUL — if inbound is allowed, the response is automatically allowed back
```

## Voorbeeldregels

```text
Inbound rules for a web server:
  Allow TCP 443 (HTTPS) from 0.0.0.0/0   → anyone can reach HTTPS
  Allow TCP 80  (HTTP)  from 0.0.0.0/0   → anyone can reach HTTP
  Allow TCP 22  (SSH)   from <your IP>/32 → ONLY your IP can SSH (not the whole world!)
→ everything else is blocked (default deny)
```

## Een krachtig patroon: verwijzingen naar andere security groups

```text
Rules can allow traffic from ANOTHER security group (not just IPs):
  → DB security group: allow port 5432 FROM the app-server security group
  → means: only the app servers (whatever their IPs) can reach the database
→ Tiered security: web SG → app SG → db SG (each layer only accepts from the previous)
```

## Security groups vs NACLs

```text
SECURITY GROUPS → at the RESOURCE level; stateful; allow-only; the primary tool
NETWORK ACLs (NACLs) → at the SUBNET level; stateless; allow AND deny rules;
  a secondary, coarser layer
→ Use security groups as the main control; NACLs for subnet-wide rules.
```

## Waarom het belangrijk is

Het begrijpen van security groups is belangrijk omdat zij fundamenteel zijn voor **AWS-netwerkbeveiliging** — ze controleren welk verkeer uw resources kan bereiken — dus het is essentiële praktische kennis voor het veilig implementeren van resources.

Security groups fungeren als **virtuele firewalls** die definiëren welk verkeer (poorten, protocollen, bronnen) is toegestaan naar en van resources, met een veilig-standaard-model (alleen allow-regels; alles wat niet expliciet is toegestaan, wordt geweigerd) en stateful-gedrag (reacties op toegestaan verkeer worden automatisch toegestaan).

Het begrijpen hoe regels correct te configureren is essentieel voor beveiliging — bijvoorbeeld HTTP/HTTPS van overal toestaan voor een webserver, maar **SSH-toegang beperken tot specifieke IP's** (niet het hele internet — een veel voorkomend, belangrijk practice, omdat SSH blootstellen aan de wereld een beveiligingsrisico is).

Het **krachtige patroon van verwijzingen naar andere security groups** (de security group van de database permitteren om verkeer alleen van de security group van de toepassingsservers te accepteren, ongeacht hun IP's) maakt schone **getrapte beveiligingsarchitecturen** mogelijk (web → app → database, elke laag accepteert verkeer alleen van de vorige) — een best-practice-benadering die blootstelling beperkt en least privilege op netwerkniveau volgt.

Het begrijpen van **security groups vs NACLs** (security groups op resourceniveau als het primaire, stateful, allow-only-tool; NACLs op subnetniveau als een grofere, stateless secundaire laag) verduidelijkt het gelaagde netwerkbeveiligingsmodel.

Omdat het controleren van netwerktoegang tot resources fundamenteel is voor AWS-beveiliging (verkeerd geconfigureerde toegang — zoals te open poorten of wereldwijd toegankelijke SSH/databases — veroorzaakt echte kwetsbaarheden), en omdat security groups het primaire mechanisme hiervoor zijn (met het security-group-referentiepatroon dat beveiligde getrapte architecturen mogelijk maakt), is het begrijpen van security groups essentiële, praktisch-belangrijke AWS-kennis voor het veilig implementeren van resources — een kernbeveiligingsonderwerp waarbij juiste configuratie (toegang op passende manier beperken, getrapte security-group-referenties gebruiken) rechtstreeks de netwerkniveau-blootstellingen voorkomt die tot inbreuken leiden.