Perbedaan antara security group dasar dan lanjutan - Elastic Compute Service

Security group terdiri dari dua jenis: basic security group dan advanced security group. Kedua jenis ini tidak dikenai biaya dan berbeda dalam aspek seperti kapasitas, kemampuan aturan untuk mengotorisasi security group lain, serta aturan kontrol akses default. Perbedaan-perbedaan tersebut menjadikan keduanya sesuai untuk kasus penggunaan yang berbeda. Topik ini menjelaskan fitur dan perbedaan masing-masing.

Catatan

Saat Anda mengaitkan instance ECS atau elastic network interface dengan beberapa security group, semua security group tersebut harus berjenis sama. Anda tidak dapat mengaitkan sebuah resource dengan kombinasi basic security group dan advanced security group.

Kapasitas alamat IP pribadi per security group

Saat Anda mengaitkan resource seperti instance ECS, elastic network interface, atau instance ECI dengan sebuah security group, alamat IP pribadi mereka dihitung terhadap kapasitas grup tersebut. Satu resource dapat memiliki satu atau lebih alamat IP pribadi.

Tabel berikut membandingkan kapasitas keduanya.

Jenis kelompok keamanan	Kapasitas IP pribadi
basic security group	VPC: 6.000 Catatan Penggunaan kapasitas adalah jumlah total alamat IP pribadi pada semua elastic network interface yang dikaitkan (termasuk ENI primer dan sekunder). Jumlah ini mencakup semua jenis alamat IP, seperti IPv4 pribadi primer, IPv6, IPv4 pribadi sekunder, awalan IPv4, dan awalan IPv6. Jika Anda memerlukan lebih dari 6.000 alamat IP pribadi untuk saling berkomunikasi melalui jaringan internal, Anda dapat menetapkan instance ECS ke beberapa security group dan menambahkan aturan yang mengotorisasi akses timbal balik. Anda dapat melihat jumlah maksimum alamat IP pribadi untuk basic security group dalam VPC di Quota Center menggunakan ID kuota `q_vpc-normal-security-group-ip-count`.
advanced security group	VPC: 65.536 Catatan Penggunaan kapasitas didasarkan pada jumlah total elastic network interface (termasuk ENI primer dan sekunder) yang dikaitkan dengan security group tersebut.

Dalam VPC, advanced security group dapat menampung lebih banyak resource dibandingkan basic security group. Untuk kluster besar yang kapasitas alamat IP basic security group-nya tidak mencukupi, gunakan advanced security group.

Anda dapat melihat penggunaan alamat IP sebuah security group di konsol atau dengan memanggil operasi API.

Security group sebagai objek otorisasi

Anda dapat menambahkan security group rule yang mengotorisasi akses ke atau dari security group lain dengan mereferensikan ID-nya.

Jenis security group	Otorisasi berdasarkan grup	Deskripsi
basic security group	Ya	Anda dapat menambahkan aturan yang mengotorisasi security group dasar lainnya. Anda dapat menambahkan maksimal 20 aturan semacam itu. Untuk informasi selengkapnya, lihat Batasan security group.
advanced security group	Tidak	Anda tidak dapat menambahkan aturan yang menggunakan security group sebagai objek otorisasi, maupun menggunakan advanced security group sebagai objek otorisasi dalam aturan security group lain.

Interkonektivitas internal

Fitur interkonektivitas internal pada basic security group memungkinkan akses jaringan antar instance ECS dalam grup yang sama. Anda dapat mengaktifkan atau menonaktifkan fitur ini dengan mengubah kebijakan akses internal grup tersebut. Pada advanced security group, instance diisolasi secara default, dan kebijakan ini tidak dapat diubah.

Jenis security group	Kebijakan akses internal
basic security group	Ya. Secara default, kebijakannya adalah internal interconnectivity. Catatan Jika Anda perlu membatasi komunikasi jaringan antar instance ECS karena alasan keamanan, Anda dapat mengubah kebijakan akses internal basic security group di Konsol ECS. Untuk informasi selengkapnya, lihat Mengubah kebijakan akses internal basic security group.
advanced security group	Tidak. Secara default, kebijakannya adalah internal isolation.

Aturan kontrol akses default

Basic security group dan advanced security group memiliki aturan kontrol akses default yang berbeda. Pada basic security group, kebijakan akses internal memengaruhi aturan kontrol akses default-nya. Aturan default yang tidak terlihat ini bekerja bersama aturan security group kustom Anda untuk mengontrol traffic.

Catatan

Pada tabel berikut, aturan dievaluasi berdasarkan prioritas menurun (1, 2, 3...).

Basic security group

Interkonektivitas internal

Inbound

Saat kebijakan basic security group diatur ke interkonektivitas internal, traffic dari instance ECS lain dalam security group yang sama diizinkan secara default (Prioritas 1), mengesampingkan aturan kustom Anda. Traffic lain yang sesuai dengan aturan kustom diizinkan atau ditolak tergantung pada aksi aturan tersebut (Prioritas 2). Semua traffic lainnya ditolak (Prioritas 3).

Prioritas	Jenis aturan	Jenis lalu lintas	Aksi
1	Aturan kontrol akses default (tidak terlihat)	Traffic dari instance ECS lain dalam security group yang sama	Allow
2	Aturan kustom	Traffic yang sesuai dengan aturan kustom	Allow atau Deny (tergantung pada aksi aturan)
3	Aturan kontrol akses default (tidak terlihat)	Semua traffic lainnya	Deny

Outbound

Untuk traffic outbound dari basic security group, traffic yang sesuai dengan aturan kustom diizinkan atau ditolak tergantung pada aksi aturan tersebut (Prioritas 1). Semua traffic outbound lainnya diizinkan secara default (Prioritas 2).

Prioritas	Jenis aturan	Jenis lalu lintas	Aksi
1	Aturan kustom	Traffic yang sesuai dengan aturan kustom	Allow atau Deny (tergantung pada aksi aturan)
2	Aturan kontrol akses default (tidak terlihat)	Semua traffic lainnya	Allow

Isolasi internal

Inbound

Saat kebijakan basic security group diatur ke isolasi internal, traffic dari instance ECS lain dalam grup yang sama tidak lagi diizinkan secara default. Traffic inbound yang sesuai dengan aturan kustom diizinkan atau ditolak tergantung pada aksi aturan tersebut (Prioritas 1). Semua traffic inbound lainnya ditolak (Prioritas 2).

Prioritas	Jenis aturan	Jenis lalu lintas	Aksi
1	Aturan kustom	Traffic yang sesuai dengan aturan kustom	Allow atau Deny (tergantung pada aksi aturan)
2	Aturan kontrol akses default (tidak terlihat)	Semua traffic lainnya	Deny

Outbound:

Perilakunya sama seperti saat kebijakan diatur ke interkonektivitas internal.

Prioritas	Jenis aturan	Jenis Lalu Lintas	Action
1	Aturan kustom	Traffic yang sesuai dengan aturan kustom	Allow atau Deny (tergantung pada aksi aturan)
2	Aturan kontrol akses default (tidak terlihat)	Semua traffic lainnya	Allow

Kebijakan akses internal memengaruhi aturan inbound default untuk basic security group. Saat kebijakan diatur ke interkonektivitas internal, traffic dari instance ECS lain dalam grup yang sama diizinkan secara default. Sebagai praktik terbaik, ikuti prinsip least privilege. Jika instance dalam basic security group tidak perlu saling berkomunikasi, atur kebijakan ke isolasi internal.

Advanced security group

Inbound:

Untuk advanced security group, traffic inbound yang sesuai dengan aturan kustom diizinkan atau ditolak tergantung pada aksi aturan tersebut (Prioritas 1). Semua traffic inbound lainnya ditolak secara default (Prioritas 2).

Prioritas	Jenis aturan	Jenis lalu lintas	Action
1	Aturan kustom	Traffic yang sesuai dengan aturan kustom	Allow atau Deny (tergantung pada aksi aturan)
2	Aturan kontrol akses default (tidak terlihat)	Semua traffic lainnya	Deny

Outbound:

Untuk advanced security group, traffic outbound yang sesuai dengan aturan kustom diizinkan atau ditolak tergantung pada aksi aturan tersebut (Prioritas 1). Semua traffic outbound lainnya ditolak secara default (Prioritas 2).

Prioritas	Jenis aturan	Jenis lalu lintas	Aksi
1	Aturan kustom	Traffic yang sesuai dengan aturan kustom	Allow atau Deny (tergantung pada aksi aturan)
2	Default access control rule (invisible)	All other traffic	Deny