AWS Security Group & Network Access Control List
Security Group (SG) နဲ့ Network ACL (NACL) ဆိုတာကတော့ AWS Cloud Networking မှာ Network traffic ကို filter လုပ်ပေးတဲ့ virtual firewall အမျိုးအစားနှစ်ခုဖြစ်ပါတယ်။
Security Group
Security Group ဆိုတာ EC2 instances နဲ့ Network Interface level ကိုကာကွယ်ပေးတဲ့ stateful virtual firewall တစ်ခုဖြစ်ပါတယ်။
VCP တစ်ခုတိုင်းမှာ Default SG တစ်ခုပါပြီး rules တွေကို ပြင်လို့ရပေမဲ့ ဖျက်လို့တော့မရပါဘူး။
SG တစ်ခု create လုပ်လိုက်တဲ့အခါ Default အနေတဲ့
- inbound Traffic = deny all
- outbound Traffic = allow all
SG ကို instance နဲ့ Associate လုပ်လိုက်တဲ့အခါ instance ထဲကို ဝင်လာမယ့် (inbound traffic) နဲ့ ထွက်သွားမယ့် (outbound traffic) တွေကို SG က filter လုပ်ပေးတယ် control လုပ်ပေးပါတယ်။
ဥပမာ ။ instance ကို remote manage လုပ်ချင်ရင် Inbound rule မှာ SSH (TCP 22) ကို allow rule အဖြစ်ထည့်ပေးလိုက်ရပါတယ်။
EC2 instance တစ်ခုအပေါ်မှာ Security Group အများကြီး attach လုပ်လို့ရပါတယ်။
အဲ့လိုအခြေအနေမျိုးမှာ AWS က SG တိုင်းရဲ့ rule အားလုံးကို evaluate လုပ်ပြီး combine rules အဖြစ် လုပ်ဆောင်သွားပါတယ်။
Limitations of SG
- SG တစ်ခုမှာ Inbound နဲ့ Outbound rules စုစုပေါင်း အများဆုံး ၆၀ ရေးလို့ရ။
- Region တစ်ခုမှာ ပုံမှန်အားဖြင့် SG 2,500 ဆောက်နိုင်ပြီး အများဆုံး 10,000 ထိ request လုပ်နိုင်။
- Deny rules မရှိ။
- DNS traffic (Route 53) ကို SG level မှာ block မလုပ်နိုင်။
Network Access Control List
Network Access Control List ကတော့ Subnet level ကို ကာကွယ်ပေးတဲ့ stateless virtual firewall တစ်ခုဖြစ်ပါတယ်။
Subnet တစ်ခုမှာ NACL တစ်ခုပဲ assign လုပ်လို့ရပြီး အဲ့ subnet ထဲမှာရှိတဲ့ instances အားလုံးကို NACL rules တွေ auto သက်ရောက်မှုရှိသွားပါတယ်။
VPC တစ်ခု create လုပ်လိုက်တဲ့အချိန်ထဲမှာ Default NACL တစ်ခုကို AWS က auto assign လုပ်ထားပါတယ်။
Default NACL မှာ တော့
-
Inbound Traffic = allow all
-
outbound Traffic = allow all
ACL က stateless ဖြစ်တဲ့အတွက် Allow rule သာမက Deny rules ကို ပါsupport လုပ်ပါတယ်။ ဆိုလိုတာက inbound နဲ့ outbound ကိုသီးသန့်ရေးပေးရပါမယ်။
Rules တွေက priority နံပါတ်နဲ့ evaluate လုပ်ပြီး နံပါတ်နိမ့်လေ priority မြင့်လေဖြစ်ပါတယ်။
Limitations of NACL
- NACL တစ်ခုမှာ rule အများဆုံး 100 ထိသာရေးနိုင်ပါတယ်။
- VPC တစ်ခုမှာ NACL အများဆုံး အခု 200 ဆောက်လို့ရပါတယ်။
- Subnet တစ်ခုမှာ NACL တစ်ခုသာ assign လုပ်လို့ရပါမယ်။
စာရှည်သွားပြီဆိုတော့ နောက်နေ့မှ သူတို့နစ်ခုတွဲသုံးပုံနဲ့ အကျဥ်းချုံးကွာခြားချက်ကို ထပ်ပြီးတင်ပေးပါ့မယ်ရှင့်။
Discussion
Join the conversation
How do you feel about this article?
Comments
Sign in to join the conversation
Sign in to be the first to comment!
Share Your Article
Share with your professional network
Recent Articles
Day 1 - Software Development ကို ပိုပြီးမြန်စေမယ့် CI/CD
Software တစ်ခုရေးပြီးပြီဆိုရင် "ငါ့စက်ထဲမှာတော့ အလုပ်လုပ်တယ်" ဆိုရုံနဲ့ မပြီးသေးပါဘူး။ User တွေသုံးမယ့် Server ပေါ်ရောက်...
Secure AWS ECR Github Action Using OIDC
Modern DevOps နှင့် Cloud Security တို့မှာ အဓိကဖြစ်လာသည့် Authentication System ယနေ့ခေတ် DevOps, Cloud Engineering, CI/C...
Manual vs Automated Infrastructure: Why "useradd" Still Matters in the Terraform Era
DevOps careerကို လျှောက်နေတဲ့သူတိုင်း Terraform၊ Ansible စတဲ့ Infrastructure as Code (IaC) tools တွေရဲ့ အလုပ်လုပ်နိုင်စွ...
From Surviving to Thriving
“AI ကြောင့် developer အလုပ်ပျောက်သွားမလား?” ဆိုတဲ့ မေးခွန်းကို Junior developer တိုင်း စဉ်းစားဖူးကြမှာပါ။ ဈေးကွက်အခြေအနေ...
AWS - Global Infra
AWS Global Infra AWS Global Infra & Service Type ဆိုတဲ့ ခေါင်းစဉ်နဲ့ ၂၀၂၅ ဒီဇင်ဘာမှာရေးထားဖူးတဲ့ article ကို အရင်ဆုံး ဖတ...
