セキュリティグループとネットワークACLの違い、その比較

 

セキュリティグループとは?

セキュリティグループはインスタンスのトラフィックを制御する仕組み

デフォルトでは同じセキュリティグループ内通信のみ許可するのはセキュリティグループの特徴

セキュリティグループはステートフルであり戻りトラフィックの考慮が入らない

 

ネットワークACLとの比較

サービス名 セキュリティグループ ネットワークACL
主な機能 EC2の通信のアクセスを制御する
サーバ単位で適用される
サブネット間を跨ぐ通信のアクセスを制御する

VPC/サブネット単位で適用される

通信制御方式 ステートレス

(戻りの通信を考慮しない)

(インバウンドのみ設定すればアウトバウンドも許可される)

許可をIn/outで設定

ステートフル

(戻りの通信を明示的に設定する)

(インバウンドを設定しても、アウトバウンドは設定されない)

許可と拒否をIn/outで設定

適用順番 すべてのルールが適用される 番号の順番どおりに適用される
適用速度 即時反映
AllowのみをIN/OUTで指定する

(ホワイトリスト方式)

Allow/DenyをiN/OUTで指定する

(ブラックリスト方式)