Tạo Security Group cho Linux Instance

Tạo Security Group cho Linux Instance

ℹ️ Information
Security Group hoạt động như tường lửa ảo để kiểm soát lưu lượng truy cập vào và ra khỏi EC2 instance. Trong phần này, chúng ta sẽ tạo Security Group với các quy tắc phù hợp cho Linux instance.

  1. Truy cập AWS Management Console

    • Tìm và chọn VPC
    • Chọn Security Group

    Navigate to Security Groups

  2. Trong giao diện Create security group

    • Security group name: nhập Linux-SG
    • Description: nhập Security group for Linux instance
    • VPC: chọn Linux-vpc vừa tạo

    Configure security group basics

  3. Cấu hình Inbound rules: ta cần thêm 7 inbound rules bằng cách click Add rule rồi lần lượt cấu hình như hình minh họa bên dưới.

    • SSH, cổng 22 để kết nối qua PuTTY hoặc SSH client
    • All ICMP-IPv4 cho phép ping và các thông báo lỗi ICMP
    • All ICMP-IPv6 cho phép ping và các thông báo lỗi qua IPv6
    • HTTP, cổng 80 cho truy cập web không bảo mật
    • HTTPS, cổng 443 cho truy cập web bảo mật
    • MySQL/Aurora, cổng 3306 sử dụng cho Database MySQL
    • Custom TCP, cổng 5000 để chạy ứng dụng Node.js

🔒 Security Note
Khi cấu hình Security Group, luôn tuân thủ nguyên tắc đặc quyền tối thiểu (principle of least privilege) - chỉ mở các cổng thực sự cần thiết cho ứng dụng của bạn. Trong môi trường sản xuất, bạn nên hạn chế nguồn truy cập thay vì cho phép từ bất kỳ địa chỉ IP nào (0.0.0.0/0).

💡 Pro Tip
Đối với mỗi rule, bạn cần chỉ định các thông tin sau:

  • Name: Tên cho rule (tối đa 255 ký tự, bao gồm a-z, A-Z, 0-9, khoảng trắng và ._-:/()#,@[]+=;{}!$*)

  • Protocol: Giao thức được cho phép (TCP, UDP, ICMP)

  • Port range: Đối với TCP/UDP, chỉ định cổng đơn (ví dụ: 22) hoặc phạm vi cổng (ví dụ: 7000-8000)

  • Source: Nguồn lưu lượng được phép, có thể là:

    • Địa chỉ IPv4 đơn lẻ (ví dụ: 203.0.113.1/32)
    • Địa chỉ IPv6 đơn lẻ (ví dụ: 2001:db8:1234:1a00::123/128)
    • Dải địa chỉ IP theo ký hiệu CIDR (ví dụ: 203.0.113.0/24)
    • ID của prefix list (ví dụ: pl-1234abc1234abc123)

    Configure inbound rules

  1. Cấu hình Outbound rules

    • Mặc định, Security Group cho phép tất cả lưu lượng ra ngoài
    • Phần tag điền key và value để dễ dàng quản lý tài nguyên
    • Chọn Create security group

⚠️ Warning
Mặc dù AWS cho phép tất cả lưu lượng đi ra theo mặc định, trong môi trường sản xuất bạn nên xem xét hạn chế outbound rules để tăng cường bảo mật cho hệ thống.

Configure outbound rules and tags

Security group creation confirmation