Definición: Firewall virtual de AWS que controla el trafico de red entrante y saliente a nivel de instancia, definiendo que conexiones estan permitidas mediante reglas de acceso.
— Fuente: NERVICO, Consultoría de Desarrollo de Producto
Que es un security group
Un security group es un firewall virtual proporcionado por AWS que controla el trafico de red entrante (ingress) y saliente (egress) a nivel de recurso. Se asocia a instancias EC2, bases de datos RDS, funciones Lambda en VPC y otros recursos de red. A diferencia de un firewall tradicional que opera por IPs, los security groups son stateful: si se permite una conexion entrante, la respuesta saliente se permite automaticamente sin necesidad de una regla explicita.
Como funciona
Cada security group contiene un conjunto de reglas que definen que trafico esta permitido. Las reglas especifican el protocolo (TCP, UDP, ICMP), el rango de puertos y el origen o destino (una IP, un rango CIDR o otro security group). Por defecto, un security group permite todo el trafico saliente y deniega todo el trafico entrante. Las reglas solo pueden permitir trafico, nunca denegarlo explicitamente. Multiples security groups pueden asociarse a un mismo recurso, y las reglas de todos se evaluan de forma combinada.
Por que importa
Los security groups son la primera linea de defensa de la red en AWS. Una configuracion incorrecta puede exponer bases de datos, servicios internos o paneles de administracion a internet. Seguir el principio de minimo privilegio en security groups (solo abrir exactamente los puertos necesarios a las fuentes necesarias) es una practica fundamental de seguridad que previene accesos no autorizados y reduce la superficie de ataque.
Ejemplo practico
Una aplicacion web tiene tres capas: un balanceador de carga publico, servidores de aplicacion y una base de datos. El security group del balanceador solo permite trafico entrante en los puertos 80 y 443 desde cualquier IP. El security group de los servidores de aplicacion solo permite trafico en el puerto 8080 desde el security group del balanceador. El security group de la base de datos solo permite trafico en el puerto 5432 desde el security group de los servidores. Cada capa solo es accesible desde la capa anterior, y la base de datos nunca esta expuesta directamente a internet.