Amazon VPC でのインターネットワークトラフィックのプライバシー - Amazon Virtual Private Cloud
セキュリティグループとネットワーク ACL を比較する

Amazon VPC でのインターネットワークトラフィックのプライバシー

Amazon Virtual Private Cloud では、次の機能を使用して、仮想プライベートクラウド (VPC) のセキュリティを強化し、モニタリングできます。

  • セキュリティグループ: セキュリティグループは、リソースレベル (EC2 インスタンスなど) で特定のインバウンドおよびアウトバウンドトラフィックを許可または拒否します。インスタンスを起動する際、そのインスタンスに 1 つまたは複数のセキュリティグループを割り当てることができます。VPC 内のインスタンスごとに異なるセキュリティグループのセットに割り当てることができます。インスタンスを起動する際にセキュリティグループを指定しなかった場合、インスタンスはその VPC のデフォルトのセキュリティグループに自動的に関連付けられます。詳細については、「セキュリティグループを使用してリソースへのトラフィックを制御する」を参照してください。

  • ネットワークアクセスコントロールリスト (ACL): ネットワーク ACL は、サブネットレベルで特定のインバウンドおよびアウトバウンドトラフィックを許可または拒否します。詳細については、「ネットワーク ACL を使用してサブネットへのトラフィックを制御する」を参照してください。

  • フローログ: フローログは、 のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャします。VPC、サブネット、または個々のネットワークインターフェイスのフローログを作成できます。フローログデータは、CloudWatch Logs または Amazon S3 に発行され、過度に制限されているか制限のないセキュリティグループとネットワーク ACL ルールを診断するうえで役立ちます。詳細については、「」を参照してくださいVPC フローログを使用した IP トラフィックのログ記録

  • トラフィックのミラーリング: Amazon EC2 インスタンスの Elastic Network Interface からネットワークトラフィックをコピーできます。その後、トラフィックを帯域外セキュリティアプライアンスおよびモニタリングアプライアンスに送信できます。詳細については、「トラフィックミラーリングガイド」を参照してください。

AWS Identity and Access Management (IAM) を使用すると、組織内の誰がセキュリティグループ、ネットワーク ACL、およびフローログを作成/管理できるようにするかをコントロールできます。たとえば、ネットワーク管理者にそのアクセス許可を付与し、インスタンスの起動のみが必要な作業員には付与しないようにできます。詳細については、「Amazon VPC の Identity and Access Management」を参照してください。

Amazon セキュリティグループとネットワーク ACL では、次で送受信されるトラフィックはフィルタリングされません。

  • Amazon ドメインネームサービス (DNS)

  • Amazon Dynamic Host Configuration Protocol (DHCP)

  • Amazon EC2 インスタンスメタデータ。

  • Amazon ECS タスクメタデータエンドポイント

  • Windows インスタンスのライセンスアクティベーション

  • Amazon Time Sync Service のご紹介

  • デフォルトの VPC ルーターによる予約済み IP アドレス

セキュリティグループとネットワーク ACL を比較する

次の表は、セキュリティグループとネットワーク ACL の基本的な違いをまとめたものです。

セキュリティグループ ネットワーク ACL
インスタンスレベルで動作します。 サブネットレベルで動作します。
インスタンスと関連付けられている場合にのみインスタンスに適用されます 関連付けられているサブネットにデプロイされているすべてのインスタンスに適用されます(セキュリティグループのルールの許容範囲が広すぎる場合は、保護レイヤーを提供します)
ルールの許可のみがサポートされます ルールの許可と拒否がサポートされます
トラフィックを許可するかどうかを決める前に、すべてのルールを評価します トラフィックを許可するかどうかを決定する際は、最も低い番号のルールから順にルールを評価します
ステートフル: ルールに関係なく、返されたトラフィックが許可されます ステートレス: 返されたトラフィックがルールによって明示的に許可されます

次の図は、セキュリティグループおよびネットワーク ACL が提供するセキュリティレイヤーを示しています。たとえば、インターネットゲートウェイからのトラフィックは、ルーティングテーブルのルートを使用して適切なサブネットにルーティングされます。サブネットに対してどのトラフィックが許可されるかは、そのサブネットに関連付けられているネットワーク ACL のルールによってコントロールされます。インスタンスに対してどのトラフィックが許可されるかは、そのインスタンスに関連付けられているセキュリティグループのルールによってコントロールされます。

セキュリティグループおよびネットワーク ACL を使用してトラフィックをコントロール

セキュリティグループのみを使用してインスタンスを保護できます。ただし、ネットワーク ACL は追加の防御レイヤーとして追加できます。例については、「例: サブネットのインスタンスへのアクセス制御」を参照してください。