1. Network ACLs là gì?
Network ACLs (Network Access Control List) là một layer tùy chọn cho bảo mật VPC của bạn, hoạt động giống như firewall để điều khiển lưu lượng truy cập ra vào giữa 1 hoặc nhiều subnets. Bạn thiết lập các rule cho Network ACLS giống như cách làm với Security Group để tạo thêm 1 lớp bảo mật bổ sung cho VPC.
2. Một số nét cơ bản về Network ACLs
- Rule mặc định của Network ACLs cho phép lưu lượng mạng vào (outbound) và ra (inbound) đối với địa chỉ IPv4 và cả IPv6
- Bạn có thể tạo một Network ACL riêng và gán nó tới một subnet. Nhưng mặc định, mỗi 1 Network ACL tạo ra sẽ từ chối tất cả Inbound và Outbound traffic cho đến khi bạn thêm Rule
- Mỗi subnet phải được gán với 1 network ACLs. Nếu bạn không chỉ ra 1 Network ACL, thì subnet sẽ tự động được liên kết với 1 network ACL mặc định.
- Network ACL có thế gán tới nhiều subnet, tuy nhiên 1 subnet chỉ có thể được gán bởi 1 Network ACL ở 1 thời điểm. Khi bạn gán với 1 Network ACL mới, những cái cũ sẽ bị gỡ bỏ.
- Một network ACL chứa 1 danh sách các quy tắc được đánh số. Bắt đầu bởi rule có số nhỏ nhất, để xác định lưu lượng mạng đươc cho phép ra vào. Số lớn nhất mà bạn có thể sử dụng cho 1 rule là 32766
- Một network ACL phân chia Rule thành inbound và outbound rule, và mỗi rule thì có thể cho phép hoặc từ chối truy cập
- Network ACLs là không có trạng thái;
Amazon Virtual Private Cloud cung cấp 2 tính năng giúp bạn có thể sử dụng để tăng và giám sát bảo mật cho VPC đó là:
- Security groups: Hoạt động giống như một tường lửa cho EC2 Instances, điều khiển lưu lượng truy cập ra vào mạng ở mức EC2 instance. Các bạn vui lòng đọc bài viết Tìm hiểu về Security Group để biết thêm chi tiết.
- Network access control lists (ACLs) – Hoạt động giống như một tường lửa cho subnet, điều khiển lưu lượng truy cập ra vào mạng ở mức subnet.
3. Bảng so sánh giữa Network ACLs và Security Group
Security Group | Network ACL |
---|---|
Quản lý lưu lượng vào ra ở mức Instance | Quản lý lưu lượng vào ra ở mức Subnet |
Chỉ hỗ trợ Allow Rule (Cho phép) | Hỗ trợ cả Allow Rule (Cho phép) và Deny Rule (Từ chối) |
Là một tường lửa có trạng thái: Lưu lượng phản hồi là được phép, mà không ảnh hưởng bởi bất kỳ 1 luật nào. | Là một tường lửa không trạng thái: Lưu lượng phản hồi phải được cho phép bởi luật. |
AWS đánh giá tất cả các rule trước khi quyết định có cho phép lưu lượng truy cập | AWS xử lý các rule theo thứ tự số khi quyết định có cho phép lưu lượng truy cập |
Chỉ áp dụng cho 1 instance nếu ai đó chỉ định security group khi khởi chạy instance hoặc liên kết security group với instance sau này | Tự động áp dụng cho tất cả các instance trong subnet được liên kết với (do đó, bạn không phải dựa vào người dùng để chỉ định security group) |
4. Hướng dẫn tạo và quản lý Network ACLs
4.1. Tạo Network ACL
Bước 1: Từ giao diện quản lý VPC -> Chọn menu “Network ACLs” -> Bấm button [ Create Network ACL ]
Bước 2: Nhập thông tin Network ACL mà bạn cần tạo
- Name tag: Tên và Tag
- VPC: Lựa chọn VPC của bạn
Bấm [ Create ] để hoàn thành
Kết quả sau khi tạo Network ACL
Bước 3: Sau khi tạo Network ACL, hãy gán nó tới 1 subnet trong VPC
Chọn Network ACL mà bạn vừa tạo -> Chọn dropdown “Action” -> Chọn “Edit subnet associations”
Bước 4: Chọn Subnet cần liên kết với Network ACL -> Bấm button [Edit]
4.2. Quản lý Network ACL
Ở giao diện quản lý, tab đầu tiên hiển thị các thông tin cơ bản về Network ACL của bạn
Tab Inbound Rules: Quản lý các Rule cho lưu lượng truy cập đi vào trong 1 subnet
Để thêm, sửa, xóa rule -> Bấm button [ Edit inbound rules ]
Tab Outbound Rules: Quản lý các Rule cho lưu lượng truy cập đi ra ngoài 1 subnet
Để thêm, sửa, xóa rule -> Bấm button [ Edit outbound rules ]
Tab Subnet associations: Quản lý liên kết giữa Network ACL với Subnet trong VPC của bạn
Tab Tags: Quản lý Tag name của Network ACL
Nguồn: vinasupport.com