AWS プログラミング

AWSのセキュリティグループはステートフルインスペクションのFWである

ステートフルインスペクション??なにそれ?

AWSのセキュリティグループを設定するときにある疑問がありました。

 

例えば、セキュリティグループAからセキュリティグループBへのSSH(ポート22)を許可したいとき、

設定が必要な項目か以下です。

 

  • セキュリティグループAのBへのアウトバウンド
  • セキュリティグループBのAからのインバウンド

 

そんなの当たり前じゃん。と思うかもしれないです。

ただ自分は疑問がありました。戻りの通信に対する設定はいらないのだろうか??

 

SSHやHTTPなどのTCPの通信では、戻りの通信が発生します。

分かりやすい例だと、ブラウザからURLを叩いた時にレスポンスとしてページが見れるのはその代表かと思います。

 

つまり、1方向だけの通信ではないんです。

ということは、実質的に戻ってくるときの通信もセキュリティグループで追加しなくてよいのだろうか??

 

これが、ステートフル・インスペクションなFW(ファイアウォール)の仕組みで解決される問題でした。

要はFW側で戻りの通信に対しては、その都度動的に許可がなされるのです。

 

むちゃくちゃ便利!!

 

で、ちなみにセキュリティグループとよく一緒に出てくるネットワークACL(サブネット単位での許可をするやつ)

についてはステートフルではありませんので注意。

 

ついでに、ルーティングは双方向許可しないとだめですよ~~

 

最後にちょっと宣伝。Youtuberやってます。よかったら見てくださいw

-AWS, プログラミング
-, , , ,

© 2020 クラインの備忘壺