3.3.3 ネットワークACLとセキュリティグループの違い

パケットフィルタリングの基本的なしくみを確認したところで、ネットワークACLとセキュリティグループの違いについて確認しましょう。

 ここでは双方の違いを観点にご紹介します。下の表が両方の要素の相違点となります。

ネットワークACL

セキュリティグループ

サブネットに適用

インスタンスに適用

許可ルールと拒否ルールが適用可能

許可ルールのみが適用可能

許可したリクエストに対するレスポンスを明示的に許可する必要がある

許可したリクエストに対するレスポンスは自動的に許可

パケット許可を判定する際に、最も低い番号のルールから順に処理

パケット許可を判定する際に、すべてのルールを評価

サブネット内のインスタンスに自動で適用

特定のインスタンスに対し明示的に適用

いくつかのポイントからセキュリティグループについても見ていきましょう。ネットワークACLが通信許可と通信拒否のルールを組み合わせて使用するのに対し、セキュリティグループが行えるのは許可ルールの設定のみです。下の表はセキュリティグループの設定例です。

各項目はネットワークACLとほとんど変わりません。ソースは送信元を表します。ルールの判定順番などは無く、通信に対してすべてのルール用いて判定します。したがって、シンプルに「一覧の中に該当するルールがあれば許可」と見ることができます。

またセキュリティグループでは、許可したリクエストに対するレスポンスは自動的に許可されるため、ネットワークACLのようにレスポンスに対応した許可ルールをアウトバウンドルールに明示的に設定する必要がありません。