AWS Security Group & Network Access Control List
Security Group (SG) နဲ့ Network ACL (NACL) ဆိုတာကတော့ AWS Cloud Networking မှာ Network traffic ကို filter လုပ်ပေးတဲ့ virtual firewall အမျိုးအစားနှစ်ခုဖြစ်ပါတယ်။
Security Group
Security Group ဆိုတာ EC2 instances နဲ့ Network Interface level ကိုကာကွယ်ပေးတဲ့ stateful virtual firewall တစ်ခုဖြစ်ပါတယ်။
VCP တစ်ခုတိုင်းမှာ Default SG တစ်ခုပါပြီး rules တွေကို ပြင်လို့ရပေမဲ့ ဖျက်လို့တော့မရပါဘူး။
SG တစ်ခု create လုပ်လိုက်တဲ့အခါ Default အနေတဲ့
- inbound Traffic = deny all
- outbound Traffic = allow all
SG ကို instance နဲ့ Associate လုပ်လိုက်တဲ့အခါ instance ထဲကို ဝင်လာမယ့် (inbound traffic) နဲ့ ထွက်သွားမယ့် (outbound traffic) တွေကို SG က filter လုပ်ပေးတယ် control လုပ်ပေးပါတယ်။
ဥပမာ ။ instance ကို remote manage လုပ်ချင်ရင် Inbound rule မှာ SSH (TCP 22) ကို allow rule အဖြစ်ထည့်ပေးလိုက်ရပါတယ်။
EC2 instance တစ်ခုအပေါ်မှာ Security Group အများကြီး attach လုပ်လို့ရပါတယ်။
အဲ့လိုအခြေအနေမျိုးမှာ AWS က SG တိုင်းရဲ့ rule အားလုံးကို evaluate လုပ်ပြီး combine rules အဖြစ် လုပ်ဆောင်သွားပါတယ်။
Limitations of SG
- SG တစ်ခုမှာ Inbound နဲ့ Outbound rules စုစုပေါင်း အများဆုံး ၆၀ ရေးလို့ရ။
- Region တစ်ခုမှာ ပုံမှန်အားဖြင့် SG 2,500 ဆောက်နိုင်ပြီး အများဆုံး 10,000 ထိ request လုပ်နိုင်။
- Deny rules မရှိ။
- DNS traffic (Route 53) ကို SG level မှာ block မလုပ်နိုင်။
Network Access Control List
Network Access Control List ကတော့ Subnet level ကို ကာကွယ်ပေးတဲ့ stateless virtual firewall တစ်ခုဖြစ်ပါတယ်။
Subnet တစ်ခုမှာ NACL တစ်ခုပဲ assign လုပ်လို့ရပြီး အဲ့ subnet ထဲမှာရှိတဲ့ instances အားလုံးကို NACL rules တွေ auto သက်ရောက်မှုရှိသွားပါတယ်။
VPC တစ်ခု create လုပ်လိုက်တဲ့အချိန်ထဲမှာ Default NACL တစ်ခုကို AWS က auto assign လုပ်ထားပါတယ်။
Default NACL မှာ တော့
-
Inbound Traffic = allow all
-
outbound Traffic = allow all
ACL က stateless ဖြစ်တဲ့အတွက် Allow rule သာမက Deny rules ကို ပါsupport လုပ်ပါတယ်။ ဆိုလိုတာက inbound နဲ့ outbound ကိုသီးသန့်ရေးပေးရပါမယ်။
Rules တွေက priority နံပါတ်နဲ့ evaluate လုပ်ပြီး နံပါတ်နိမ့်လေ priority မြင့်လေဖြစ်ပါတယ်။
Limitations of NACL
- NACL တစ်ခုမှာ rule အများဆုံး 100 ထိသာရေးနိုင်ပါတယ်။
- VPC တစ်ခုမှာ NACL အများဆုံး အခု 200 ဆောက်လို့ရပါတယ်။
- Subnet တစ်ခုမှာ NACL တစ်ခုသာ assign လုပ်လို့ရပါမယ်။
စာရှည်သွားပြီဆိုတော့ နောက်နေ့မှ သူတို့နစ်ခုတွဲသုံးပုံနဲ့ အကျဥ်းချုံးကွာခြားချက်ကို ထပ်ပြီးတင်ပေးပါ့မယ်ရှင့်။
Discussion
Join the conversation
How do you feel about this article?
Comments
Sign in to join the conversation
Sign in to be the first to comment!
Share Your Article
Share with your professional network
Recent Articles
AWS - Application Load Balancer
Elastic Load Balancing (ELB) ELB ဆိုတာကတော့ request တွေကို တစ်နေရာတည်းမှ လက်ခံကာ Amazon EC2 instances၊ containers, etc.....
Terraform Day 3: Benefits of Terraform State
Terraform ကိုလေ့လာ တဲ့အခါ ကျွန််တော်တို့ရဲ့ Project Folder ထဲမှာ terraform.tfstate ဆိုတဲ့ ဖိုင်လေးကို တွေ့ဖူးကြပါလိမ့်မယ...
Terraform Day 2: Essential IaC Principles You Must Know
မနေ့ကတော့ Terraform အကြောင်း အကြမ်းဖျင်း Concept ကို ပြောပြခဲ့ပြီးပြီဆိုတော့ ဒီနေ့မှာတော့ Terraform ကို Professional ကျက...
TCP/IP Protocol
အားလုံးပဲမင်္ဂလာပါ။ ဒီနေ့ ကျွန်တော်တို့ TCP/IP Protocol အကြောင်း ဆွေးနွေးသွားပါမယ်။ ပထမဆုံးအနေနဲ့ TCP/IP ရဲ့ History လေး...
Terraform Day 1: Introduction to IAC and Terraform
ကျွန်တော်တို့ cloud အကြောင်း စပြောကြပြီဆိုရင် အရင်ဆုံး ခေါင်းထဲရောက်လာတာ Console ထဲဝင်၊ UI ကနေ ခလုတ်လေးတွေ လိုက်နှိပ်ပြီ...