[AWS] Inbound và Outbound là gì ?
Inbound và Outbound trong Security Group trên AWS
Security Group trên AWS hoạt động như một tường lửa ảo, kiểm soát lưu lượng mạng vào và ra khỏi các instance EC2 của bạn. Hai khái niệm quan trọng trong Security Group là inbound và outbound.
Inbound (Lưu lượng vào)
- Định nghĩa: Quy tắc inbound xác định loại lưu lượng nào được phép truy cập vào instance EC2 của bạn từ bên ngoài.
- Ví dụ:
- Cho phép kết nối SSH từ bất kỳ đâu đến cổng 22:
Type: SSH, Protocol: TCP, Port Range: 22, Source: 0.0.0.0/0
- Cho phép kết nối HTTP từ một IP cụ thể đến cổng 80:
Type: HTTP, Protocol: TCP, Port Range: 80, Source: 192.168.1.100/32
- Cho phép kết nối SSH từ bất kỳ đâu đến cổng 22:
- Cấu hình: Khi bạn tạo một quy tắc inbound, bạn sẽ chỉ định:
- Loại giao thức: TCP, UDP hoặc ICMP
- Phạm vi cổng: Cổng hoặc phạm vi cổng mà bạn muốn cho phép
- Nguồn: IP hoặc phạm vi IP được phép truy cập
Outbound (Lưu lượng ra)
- Định nghĩa: Quy tắc outbound xác định loại lưu lượng nào được phép rời khỏi instance EC2 của bạn.
- Ví dụ:
- Cho phép tất cả lưu lượng đi ra:
Type: All, Protocol: -1, Port Range: All, Source: 0.0.0.0/0
- Cho phép tất cả lưu lượng đi ra:
- Cấu hình: Tương tự như quy tắc inbound, bạn cũng sẽ chỉ định giao thức, phạm vi cổng và đích cho quy tắc outbound. Tuy nhiên, hầu hết các Security Group đều cho phép tất cả lưu lượng đi ra một cách mặc định để đảm bảo instance có thể kết nối với các dịch vụ khác của AWS.
Tại sao inbound và outbound lại quan trọng?
- Bảo mật: Bằng cách cẩn thận cấu hình các quy tắc inbound và outbound, bạn có thể hạn chế các cuộc tấn công từ bên ngoài và bảo vệ dữ liệu của mình.
- Kiểm soát truy cập: Bạn có thể kiểm soát chính xác những ai có thể kết nối với instance của bạn và những dịch vụ nào mà instance của bạn có thể truy cập.
- Tuân thủ: Các quy tắc inbound và outbound giúp bạn tuân thủ các tiêu chuẩn bảo mật và quy định khác nhau.
Ví dụ thực tế
Giả sử bạn có một instance EC2 chạy một máy chủ web. Bạn muốn:
- Cho phép truy cập HTTP và HTTPS từ bất kỳ đâu đến instance.
- Chỉ cho phép SSH từ một IP cụ thể để quản lý instance.
- Cho phép tất cả lưu lượng đi ra để instance có thể truy cập các dịch vụ khác của AWS.
Bạn sẽ tạo các quy tắc inbound sau:
Type: HTTP, Protocol: TCP, Port Range: 80, Source: 0.0.0.0/0
Type: HTTPS, Protocol: TCP, Port Range: 443, Source: 0.0.0.0/0
Type: SSH, Protocol: TCP, Port Range: 22, Source: 192.168.1.100/32
Và một quy tắc outbound cho phép tất cả lưu lượng đi ra.
Lưu ý:
- Stateful: Security Group là stateful, nghĩa là nếu một kết nối đến được khởi tạo từ bên trong instance, thì lưu lượng phản hồi sẽ tự động được cho phép, ngay cả khi không có quy tắc outbound cụ thể.
- NACL: Ngoài Security Group, AWS còn cung cấp Network Access Control List (NACL) để kiểm soát lưu lượng mạng ở cấp subnet. NACL hoạt động ở mức độ thấp hơn Security Group và thường được sử dụng kết hợp để tạo ra một lớp bảo mật mạnh mẽ.
Tóm lại:
Inbound và outbound trong Security Group là hai khái niệm cơ bản để hiểu cách hoạt động của tường lửa ảo trên AWS. Bằng cách cấu hình cẩn thận các quy tắc này, bạn có thể bảo vệ instance EC2 của mình khỏi các mối đe dọa và kiểm soát truy cập vào các tài nguyên của bạn.