+1

Phân biệt Network Access Control Lists (NACLs) và Security Groups (SGs)

Network Access Control Lists (NACLs) và Security Groups (SGs) là cả hai dạng phương tiện kiểm soát truy cập trong môi trường đám mây, đặc biệt là trong dịch vụ điện toán đám mây như Amazon Web Services (AWS). Dưới đây là sự khác biệt giữa chúng:

1. Network Access Control Lists (NACLs):

a. Tính Stateless:

NACLs là "stateless," điều này có nghĩa là các quy tắc được áp dụng mà không theo dõi trạng thái của các kết nối (ví dụ: kết nối đã mở hay đã đóng).

b. Áp Dụng Ở Mức Subnet:

NACLs áp dụng trên mức subnet. Mỗi subnet có thể chỉ được liên kết với một NACL.

c. Quy Tắc Kiểm Soát Truy Cập Đa Dạng:

NACLs cung cấp các quy tắc kiểm soát truy cập cho từng loại kết nối (inbound và outbound). Mỗi quy tắc có thể được cấu hình để cho phép hoặc từ chối các gói dữ liệu.

2. Security Groups (SGs):

a. Tính Stateful:

SGs là "stateful," điều này có nghĩa là chúng theo dõi trạng thái của các kết nối. Nếu bạn mở một cổng để cho phép kết nối đi vào, nó cũng tự động cho phép các gói dữ liệu liên quan từ kết nối đó đi ra.

b. Áp Dụng Trực Tiếp Trên Instances:

SGs áp dụng trực tiếp lên các instances (máy ảo). Một instance có thể liên kết với nhiều SGs.

c. Quy Tắc Đơn Giản:

SGs cung cấp các quy tắc đơn giản hơn so với NACLs. Mỗi quy tắc trong SGs chỉ đơn giản là cho phép hoặc từ chối kết nối.

3. Tóm Tắt:

  • NACLs và SGs đều được sử dụng để kiểm soát truy cập vào môi trường đám mây.
  • NACLs thường được sử dụng cho việc kiểm soát truy cập ở mức subnet và cung cấp kiểm soát truy cập đa dạng.
  • SGs thường được sử dụng cho việc kiểm soát truy cập trực tiếp trên từng instance và có quy tắc đơn giản hơn, cũng như có tính stateful.

4. Bonus

  • Stateful:

    • Một Security Group được coi là stateful khi nó duy trì thông tin về trạng thái kết nối của gói tin.
    • Khi bạn khai báo một quy tắc cho một Security Group để cho phép kết nối từ một nguồn đến một đích, thông tin về kết nối này được lưu giữ trong bảng trạng thái.
    • Tất cả các gói tin liên quan đến kết nối đó (gửi và nhận) được cho phép đi qua mà không cần phải thiết lập quy tắc đặc biệt cho phản hồi.
  • Stateless:

    • Ngược lại, một Security Group được coi là stateless khi nó không theo dõi trạng thái của kết nối.
    • Mỗi gói tin được kiểm tra độc lập với bất kỳ gói tin trước đó nào và quyết định việc chấp nhận hoặc từ chối dựa trên quy tắc của nó mà không quan tâm đến trạng thái của kết nối trước đó.

All rights reserved

Viblo
Hãy đăng ký một tài khoản Viblo để nhận được nhiều bài viết thú vị hơn.
Đăng kí