Access Control Lists (ACLs): Network Security đĄī¸ â
āĻāĻāĻāĻŋ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻā§ āĻā§āĻ¨ āĻā§āĻ°āĻžāĻĢāĻŋāĻ āĻĸā§āĻāĻ¤ā§ āĻĒāĻžāĻ°āĻŦā§ āĻāĻ° āĻā§āĻ¨āĻāĻŋ āĻĒāĻžāĻ°āĻŦā§ āĻ¨āĻž, āĻ¤āĻž āĻ¨āĻŋā§āĻ¨ā§āĻ¤ā§āĻ°āĻŖ āĻāĻ°āĻžāĻ° āĻ¸āĻŦāĻā§ā§ā§ āĻĒā§āĻ°āĻžāĻĨāĻŽāĻŋāĻ āĻāĻŦāĻ āĻļāĻā§āĻ¤āĻŋāĻļāĻžāĻ˛ā§ āĻŽāĻžāĻ§ā§āĻ¯āĻŽ āĻšāĻ˛ā§ ACL (Access Control List)āĨ¤ āĻāĻāĻŋ āĻ āĻ¨ā§āĻāĻāĻž āĻ¸āĻŋāĻāĻŋāĻāĻ°āĻŋāĻāĻŋ āĻāĻžāĻ°ā§āĻĄā§āĻ° āĻŽāĻ¤ā§ āĻāĻžāĻ āĻāĻ°ā§, āĻ¯āĻžāĻ° āĻāĻžāĻā§ āĻāĻāĻāĻŋ āĻ˛āĻŋāĻ¸ā§āĻ āĻĨāĻžāĻā§ āĻ¯ā§ āĻā§ āĻā§āĻ¤āĻ°ā§ āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°āĻŦā§ āĻāĻ° āĻā§ āĻĒāĻžāĻ°āĻŦā§ āĻ¨āĻžāĨ¤
ā§§. ACL āĻā§ āĻāĻŦāĻ āĻā§āĻ¨ āĻĒā§āĻ°ā§ā§āĻāĻ¨? (Use Cases) â
ACL āĻšāĻ˛ā§ āĻāĻāĻā§āĻā§āĻ āĻ°ā§āĻ˛āĻ¸ (Rules) āĻ¯āĻž āĻ°āĻžāĻāĻāĻžāĻ° āĻŦāĻž āĻ¸ā§āĻāĻā§āĻ° āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸ā§ āĻĒā§āĻ°ā§ā§āĻ āĻāĻ°āĻž āĻšā§ āĻā§āĻ°āĻžāĻĢāĻŋāĻ āĻĢāĻŋāĻ˛ā§āĻāĻžāĻ° āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯āĨ¤
- Security: āĻāĻ¨āĻ āĻĨāĻ°āĻžāĻāĻāĻĄ āĻāĻā§āĻ¸ā§āĻ¸ āĻŦāĻ¨ā§āĻ§ āĻāĻ°āĻžāĨ¤
- Traffic Control: āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻ¸āĻžāĻŦāĻ¨ā§āĻ āĻŦāĻž āĻāĻāĻĒāĻŋ-āĻā§ āĻāĻ¨ā§āĻāĻžāĻ°āĻ¨ā§āĻā§ āĻ¯ā§āĻ¤ā§ āĻŦāĻžāĻ§āĻž āĻĻā§āĻā§āĻžāĨ¤
- Efficiency: āĻ āĻĒā§āĻ°ā§ā§āĻāĻ¨ā§āĻ¯āĻŧ āĻā§āĻ°āĻžāĻĢāĻŋāĻ āĻŦā§āĻ˛āĻ āĻāĻ°ā§ āĻŦā§āĻ¯āĻžāĻ¨ā§āĻĄāĻāĻāĻĨ āĻŦāĻžāĻāĻāĻžāĻ¨ā§āĨ¤
ā§¨. ACL āĻāĻ° āĻĒā§āĻ°āĻāĻžāĻ°āĻā§āĻĻ (Types of ACLs) â
āĻ. Standard ACL (āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨ā§āĻĄāĻžāĻ°ā§āĻĄ āĻāĻ¸āĻŋāĻāĻ˛): â
āĻāĻāĻŋ āĻā§āĻŦāĻ˛ Source IP Address āĻĻā§āĻā§ āĻā§āĻ°āĻžāĻĢāĻŋāĻ āĻĢāĻŋāĻ˛ā§āĻāĻžāĻ° āĻāĻ°ā§āĨ¤
- Range: ā§§ - ā§¯ā§¯ āĻāĻŦāĻ ā§§ā§Šā§Ļā§Ļ - ā§§ā§¯ā§¯ā§¯āĨ¤
- Placement: āĻāĻāĻŋ āĻāĻ¨ā§āĻ¤āĻŦā§āĻ¯ā§āĻ° (Destination) āĻ¯āĻ¤ āĻāĻžāĻā§ āĻ¸āĻŽā§āĻāĻŦ āĻ¤āĻ¤ āĻāĻžāĻā§ āĻŦāĻ¸āĻžāĻ¨ā§ āĻāĻāĻŋāĻ¤āĨ¤
āĻ. Extended ACL (āĻāĻā§āĻ¸āĻā§āĻ¨ā§āĻĄā§āĻĄ āĻāĻ¸āĻŋāĻāĻ˛): â
āĻāĻāĻŋ āĻ āĻ¨ā§āĻ āĻŦā§āĻļāĻŋ āĻ ā§āĻ¯āĻžāĻĄāĻāĻžāĻ¨ā§āĻ¸āĻĄāĨ¤ āĻāĻāĻŋ Source IP, Destination IP, Protocol (TCP/UDP), āĻāĻŦāĻ āĻĒā§āĻ°ā§āĻ āĻ¨āĻŽā§āĻŦāĻ° āĻĻā§āĻā§ āĻĢāĻŋāĻ˛ā§āĻāĻžāĻ° āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤
- Range: ā§§ā§Ļā§Ļ - ā§§ā§¯ā§¯ āĻāĻŦāĻ ā§¨ā§Ļā§Ļā§Ļ - ā§¨ā§Ŧā§¯ā§¯āĨ¤
- Placement: āĻāĻāĻŋ āĻ¸ā§āĻ°ā§āĻ¸ā§āĻ° (Source) āĻ¯āĻ¤ āĻāĻžāĻā§ āĻ¸āĻŽā§āĻāĻŦ āĻ¤āĻ¤ āĻāĻžāĻā§ āĻŦāĻ¸āĻžāĻ¨ā§ āĻāĻāĻŋāĻ¤ āĻ¯ā§āĻ¨ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻā§ āĻ āĻĒā§āĻ°ā§ā§āĻāĻ¨ā§āĻ¯āĻŧ āĻĄāĻžāĻāĻž āĻ¨āĻž āĻĸāĻā§āĨ¤
āĻ. Named ACL: â
āĻ¨āĻŽā§āĻŦāĻ°ā§āĻ° āĻŦāĻĻāĻ˛ā§ āĻ¨āĻžāĻŽ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻ¯ā§ āĻāĻ¸āĻŋāĻāĻ˛ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšā§āĨ¤ āĻāĻāĻŋ āĻŽāĻĄāĻŋāĻĢāĻžāĻ āĻāĻ°āĻž āĻ¸āĻšāĻāĨ¤
ā§Š. āĻāĻ¯āĻŧāĻžāĻāĻ˛ā§āĻĄāĻāĻžāĻ°ā§āĻĄ āĻŽāĻžāĻ¸ā§āĻ (Wildcard Masks) â
āĻ¸āĻžāĻŦāĻ¨ā§āĻ āĻŽāĻžāĻ¸ā§āĻā§āĻ° āĻ āĻŋāĻ āĻāĻ˛ā§āĻā§ āĻšāĻ˛ā§ āĻāĻ¯āĻŧāĻžāĻāĻ˛ā§āĻĄāĻāĻžāĻ°ā§āĻĄ āĻŽāĻžāĻ¸ā§āĻāĨ¤ āĻāĻāĻŋ āĻāĻ¸āĻŋāĻāĻ˛-āĻ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻāĻāĻĒāĻŋ āĻ°ā§āĻā§āĻ āĻŦā§āĻāĻžāĻ¤ā§ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻšā§āĨ¤
- Subnet Mask:
255.255.255.0 - Wildcard Mask:
0.0.0.255(āĻāĻ° āĻŽāĻžāĻ¨ā§ āĻšāĻ˛ā§ āĻļā§āĻˇ āĻ āĻā§āĻā§āĻāĻāĻŋ āĻ¯āĻž āĻāĻā§āĻāĻž āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§)āĨ¤
ā§Ē. ACL āĻāĻ° āĻāĻžāĻā§āĻ° āĻ¨āĻŋā§āĻŽ (How ACL Works) â
āĻ°āĻžāĻāĻāĻžāĻ° āĻ¯āĻāĻ¨ āĻā§āĻ¨ā§ āĻĒā§āĻ¯āĻžāĻā§āĻ āĻĒāĻžā§, āĻ¸ā§ āĻāĻ¸āĻŋāĻāĻ˛ āĻ˛āĻŋāĻ¸ā§āĻā§āĻ° āĻāĻĒāĻ° āĻĨā§āĻā§ āĻ¨āĻŋāĻ āĻĒāĻ°ā§āĻ¯āĻ¨ā§āĻ¤ āĻā§āĻ āĻāĻ°ā§:
- Top-down Processing: āĻĒā§āĻ°āĻĨāĻŽ āĻ¯ā§ āĻ°ā§āĻ˛ā§āĻ° āĻ¸āĻžāĻĨā§ āĻŽā§āĻ¯āĻžāĻ āĻāĻ°āĻŦā§, āĻ¸ā§āĻāĻžāĻ¨ā§āĻ āĻ¸ā§ āĻĨā§āĻŽā§ āĻ¯āĻžāĻŦā§ (āĻĒāĻžāĻ¸ āĻŦāĻž āĻŦā§āĻ˛āĻ āĻāĻ°āĻŦā§)āĨ¤
- Implicit Deny: āĻ˛āĻŋāĻ¸ā§āĻā§āĻ° āĻļā§āĻˇā§ āĻāĻāĻāĻŋ āĻāĻ¨āĻāĻŋāĻāĻŋāĻŦāĻ˛ āĻ°ā§āĻ˛ āĻĨāĻžāĻā§ āĻ¯āĻžāĻ° āĻŽāĻžāĻ¨ā§ āĻšāĻ˛ā§ "āĻĒā§āĻ¯āĻžāĻā§āĻ āĻ¯āĻĻāĻŋ āĻāĻĒāĻ°ā§āĻ° āĻā§āĻ¨ā§ āĻ°ā§āĻ˛ā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¨āĻž āĻŽā§āĻ˛ā§, āĻ¤āĻŦā§ āĻ¸ā§āĻāĻŋ āĻŦā§āĻ˛āĻ āĻšāĻŦā§"āĨ¤ āĻ¤āĻžāĻ āĻāĻ¸āĻŋāĻāĻ˛-āĻ āĻ āĻ¨ā§āĻ¤āĻ¤ āĻāĻāĻāĻŋ Permit āĻ°ā§āĻ˛ āĻĨāĻžāĻāĻ¤ā§ āĻšā§āĨ¤
ā§Ģ. ACL āĻāĻ° āĻ¸ā§āĻ°āĻž āĻĒā§āĻ°ā§āĻ¯āĻžāĻāĻāĻŋāĻ¸ (Best Practices) â
- Top Down: āĻ¸āĻŦāĻā§ā§ā§ āĻ¸ā§āĻĒā§āĻ¸āĻŋāĻĢāĻŋāĻ āĻ°ā§āĻ˛āĻā§āĻ˛ā§āĻā§ āĻāĻĒāĻ°ā§ āĻ°āĻžāĻā§āĻ¨āĨ¤
- Documentation: āĻ°ā§āĻ˛āĻā§āĻ˛ā§āĻ° āĻ¸āĻžāĻĨā§ āĻāĻŽā§āĻ¨ā§āĻ āĻŦāĻž āĻĄā§āĻ¸āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ āĻ¯ā§āĻā§āĻ¤ āĻāĻ°ā§āĻ¨āĨ¤
- Implicit Deny: āĻŽāĻ¨ā§ āĻ°āĻžāĻāĻŦā§āĻ¨ āĻ¯ā§ āĻ°ā§āĻ˛ āĻŽā§āĻ¯āĻžāĻ āĻ¨āĻž āĻāĻ°āĻ˛ā§ āĻ¸ā§āĻāĻŋ āĻŦā§āĻ˛āĻ āĻšā§ā§ āĻ¯āĻžāĻŦā§, āĻ¤āĻžāĻ āĻĒā§āĻ°ā§ā§āĻāĻ¨ā§ā§ āĻā§āĻ°āĻžāĻĢāĻŋāĻ āĻ¯ā§āĻ¨ āĻĒāĻžāĻ°āĻŽāĻŋāĻ āĻĒāĻžā§ āĻ¤āĻž āĻ¨āĻŋāĻļā§āĻāĻŋāĻ¤ āĻāĻ°ā§āĻ¨āĨ¤
- Placement: āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨ā§āĻĄāĻžāĻ°ā§āĻĄ āĻāĻ¸āĻŋāĻāĻ˛ āĻāĻ¨ā§āĻ¤āĻŦā§āĻ¯ā§ āĻāĻ° āĻāĻā§āĻ¸āĻā§āĻ¨ā§āĻĄā§āĻĄ āĻāĻ¸āĻŋāĻāĻ˛ āĻ¸ā§āĻ°ā§āĻ¸ā§āĻ° āĻāĻžāĻā§ āĻŦāĻ¸āĻžāĻ¨āĨ¤
ā§Ŧ. āĻĄā§āĻāĻ āĻĒāĻ¸ āĻĒāĻžāĻ°āĻ¸āĻĒā§āĻā§āĻāĻŋāĻ: āĻĢāĻžāĻ¯āĻŧāĻžāĻ°āĻāĻ¯āĻŧāĻžāĻ˛ āĻ IaC â
- Stateless Firewall: āĻā§āĻ°ā§āĻ¯āĻžāĻĄāĻŋāĻļāĻ¨āĻžāĻ˛ āĻāĻ¸āĻŋāĻāĻ˛ āĻšāĻ˛ā§ 'Stateless'āĨ¤ āĻ āĻ°ā§āĻĨāĻžā§ āĻ¸ā§ āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻĒā§āĻ¯āĻžāĻā§āĻāĻā§ āĻāĻ˛āĻžāĻĻāĻžāĻāĻžāĻŦā§ āĻā§āĻ āĻāĻ°ā§āĨ¤ āĻāĻ§ā§āĻ¨āĻŋāĻ āĻĢāĻžāĻ¯āĻŧāĻžāĻ°āĻāĻ¯āĻŧāĻžāĻ˛āĻā§āĻ˛ā§ (āĻ¯ā§āĻŽāĻ¨: AWS Security Groups) āĻšāĻ˛ā§ 'Stateful', āĻ¯āĻž āĻ¸ā§āĻļāĻ¨ āĻŽāĻ¨ā§ āĻ°āĻžāĻāĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤
- Infrastructure as Code (IaC): āĻā§āĻ°āĻžāĻĢāĻ°ā§āĻŽ (Terraform) āĻŦāĻž āĻāĻ¨āĻ¸āĻŋāĻŦāĻ˛ (Ansible) āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻāĻāĻ¨ āĻ āĻā§āĻŽā§āĻā§āĻĄ āĻāĻĒāĻžāĻ¯āĻŧā§ āĻāĻ¸āĻŋāĻāĻ˛ āĻ°ā§āĻ˛ āĻĒā§āĻļ āĻāĻ°āĻž āĻšā§ āĻ¯ā§āĻ¨ āĻšāĻŋāĻāĻŽā§āĻ¯āĻžāĻ¨ āĻāĻ°āĻ° āĻ¨āĻž āĻšā§āĨ¤
- Micro-segmentation: āĻā§āĻ˛āĻžāĻāĻĄ āĻāĻ°ā§āĻāĻŋāĻā§āĻāĻāĻžāĻ°ā§ āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻŽāĻžāĻāĻā§āĻ°ā§āĻ¸āĻžāĻ°ā§āĻāĻŋāĻ¸ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻ˛āĻžāĻĻāĻž āĻāĻ˛āĻžāĻĻāĻž āĻāĻžāĻāĻ āĻāĻ¸āĻŋāĻāĻ˛ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻšā§ āĻāĻŋāĻ°ā§ āĻā§āĻ°āĻžāĻ¸ā§āĻ āĻ¸āĻŋāĻāĻŋāĻāĻ°āĻŋāĻāĻŋ āĻ¨āĻŋāĻļā§āĻāĻŋāĻ¤ āĻāĻ°āĻ¤ā§āĨ¤
āĻŽāĻ¨ā§ āĻ°āĻžāĻā§āĻ¨!
āĻāĻāĻāĻŋ āĻā§āĻ˛ āĻāĻ¸āĻŋāĻāĻ˛ āĻ°ā§āĻ˛ āĻĒā§āĻ°ā§ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻāĻā§ āĻ āĻāĻ˛ āĻāĻ°ā§ āĻĻāĻŋāĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻ¤āĻžāĻ āĻĒā§āĻ°ā§āĻĄāĻžāĻāĻļāĻ¨ āĻ°āĻžāĻāĻāĻžāĻ°ā§ āĻ°ā§āĻ˛ āĻĒā§āĻļ āĻāĻ°āĻžāĻ° āĻāĻā§ āĻ¸āĻŦāĻ¸āĻŽā§ āĻ˛ā§āĻ¯āĻžāĻŦ āĻŦāĻž āĻ¸ā§āĻā§āĻāĻŋāĻ āĻāĻ¨āĻāĻžāĻ¯āĻŧāĻ°āĻ¨āĻŽā§āĻ¨ā§āĻā§ āĻā§āĻ¸ā§āĻ āĻāĻ°āĻž āĻāĻāĻŋāĻ¤āĨ¤