Tạo Security Group Windows

Tạo Security Group cho Windows Instance

ℹ️ Information
Security Group hoạt động như tường lửa ảo để kiểm soát lưu lượng truy cập vào và ra khỏi EC2 instance. Trong phần này, chúng ta sẽ tạo Security Group với các quy tắc phù hợp cho Windows instance.

  1. Truy cập AWS Management Console

    • Tìm và chọn VPC
    • Chọn Security Group

    Navigate to Security Groups

    Trong giao diện Create security group:

    • Security group name: nhập Windows-SG
    • Description: nhập Security group for Windows instance
    • VPC: chọn Windows-vpc vừa tạo

    Configure security group basics

  2. Cấu hình Inbound rules: ta cần thêm 8 inbound rules bằng cách click Add rule rồi lần lượt cấu hình như hình minh họa bên dưới

    • SSH, cổng 22 để kết nối qua PuTTY hoặc SSH client
    • HTTP, cổng 80 cho truy cập web không bảo mật
    • HTTPS, cổng 443 cho truy cập web bảo mật
    • RDP, cổng 3389 dùng để kết nối từ xa đến Windows instance
    • All ICMP-IPv4 cho phép ping và các thông báo lỗi ICMP
    • All ICMP-IPv6 cho phép ping và các thông báo lỗi qua IPv6
    • Custom TCP, cổng 5000 để chạy ứng dụng Node.js
    • MySQL/Aurora, cổng 3306 sử dụng cho Database MySQL

🔒 Security Note
Khi cấu hình Security Group, luôn tuân thủ nguyên tắc đặc quyền tối thiểu (principle of least privilege) - chỉ mở các cổng thực sự cần thiết cho ứng dụng của bạn. Trong môi trường sản xuất, bạn nên hạn chế nguồn truy cập thay vì cho phép từ bất kỳ địa chỉ IP nào (0.0.0.0/0).

💡 Pro Tip
Đối với mỗi rule, bạn cần chỉ định các thông tin sau:

  • Name: Tên cho rule (tối đa 255 ký tự, bao gồm a-z, A-Z, 0-9, khoảng trắng và ._-:/()#,@[]+=;{}!$*)

  • Protocol: Giao thức được cho phép (TCP, UDP, ICMP)

  • Port range: Đối với TCP/UDP, chỉ định cổng đơn (ví dụ: 22) hoặc phạm vi cổng (ví dụ: 7000-8000)

  • Source: Nguồn lưu lượng được phép, có thể là:

    • Địa chỉ IPv4 đơn lẻ (ví dụ: 203.0.113.1/32)
    • Địa chỉ IPv6 đơn lẻ (ví dụ: 2001:db8:1234:1a00::123/128)
    • Dải địa chỉ IP theo ký hiệu CIDR (ví dụ: 203.0.113.0/24)
    • ID của prefix list (ví dụ: pl-1234abc1234abc123)

    Configure inbound rules

  1. Cấu hình Outbound rules

    • Mặc định, Security Group cho phép tất cả lưu lượng ra ngoài
    • Phần Tags, nhập key và value để dễ dàng quản lý tài nguyên
    • Chọn Create security group

⚠️ Warning
Mặc dù AWS cho phép tất cả lưu lượng đi ra theo mặc định, trong môi trường sản xuất bạn nên xem xét hạn chế outbound rules để tăng cường bảo mật cho hệ thống.

Configure outbound rules and tags

  1. Hoàn thành tạo Security Group cho Windows instance.

    Security group creation confirmation

  2. Như vậy, chúng ta đã hoàn thành tạo 2 Security Group cho hai EC2 instance.

    View all security groups

💡 Pro Tip: Hãy sử dụng tag có ý nghĩa cho các Security Group để dễ dàng nhận diện và quản lý khi bạn có nhiều Security Group trên các môi trường khác nhau (dev, test, prod).