Security Group vs. NACL: Unterschiede, Use Cases und häufige Fehler

„Security Group vs. NACL“ ist eine der wichtigsten Grundlagen in AWS-Netzwerksicherheit – und gleichzeitig eine der häufigsten Ursachen für schwer nachvollziehbare Connectivity-Probleme. Beide Mechanismen steuern, welcher Netzwerkverkehr in einer VPC erlaubt ist, arbeiten aber auf unterschiedlichen Ebenen und mit unterschiedlichen Eigenschaften. Genau deshalb werden sie oft verwechselt: Ein Service ist „eigentlich freigeschaltet“, trotzdem gibt es Timeouts. Oder eine Regeländerung wirkt nur in einem Subnetz, aber nicht in einem anderen. Wer Security Groups (SG) und Network ACLs (NACL) sauber auseinanderhält, kann Zugriffe präzise minimieren, Angriffsflächen reduzieren und Fehler schneller debuggen. Dieser praxisnahe Leitfaden erklärt die Unterschiede, typische Use Cases und die häufigsten Fehlerbilder – inklusive Checklisten und Best Practices, die sich in Produktion bewährt haben.

Was ist eine Security Group?

Eine Security Group ist in AWS eine zustandsbehaftete (stateful) virtuelle Firewall auf Ebene der Netzwerkschnittstelle (ENI) bzw. der Ressource, die daran hängt (z. B. EC2-Instanz, Load Balancer, RDS, EKS-Worker/Nodes, viele weitere Services). Security Groups bestehen aus Inbound- und Outbound-Regeln, die explizit erlauben, welcher Traffic hinein oder hinaus darf. „Deny“-Regeln gibt es bei Security Groups nicht: Alles, was nicht erlaubt ist, ist implizit blockiert.

• Scope: Ressource/ENI (nicht Subnetz)
• Regeltyp: Allow-only (implizites Deny für alles andere)
• Zustand: stateful – Rückverkehr wird automatisch erlaubt, wenn die Verbindung initiiert wurde
• Typischer Einsatz: feingranulare Segmentierung („nur App → DB auf Port 5432“)

Offizielle Referenz: AWS Security Groups.

Was ist eine Network ACL?

Eine Network ACL (NACL) ist eine zustandslose (stateless) Zugriffskontrollliste auf Subnetz-Ebene. Sie wirkt als zusätzliche Filter-Schicht für ein gesamtes Subnetz – unabhängig davon, welche Ressourcen dort laufen. Im Gegensatz zu Security Groups können NACLs sowohl Allow– als auch Deny-Regeln enthalten. Außerdem werden Regeln in einer definierten Reihenfolge (nach Regelnummer) ausgewertet: Die erste passende Regel gewinnt.

• Scope: Subnetz (für alle Ressourcen darin)
• Regeltyp: Allow und Deny
• Zustand: stateless – Inbound und Outbound müssen jeweils explizit erlaubt werden
• Typischer Einsatz: grobe Schutzbarrieren, Baseline-Filter, „Guardrails“ gegen bekannte Quellen/Ports

Offizielle Referenz: AWS Network ACLs.

Security Group vs. NACL: Die wichtigsten Unterschiede auf einen Blick

Der Unterschied ist nicht „welches ist besser“, sondern „wozu ist welches geeignet“. In der Praxis ist das beste Setup meist eine Kombination: Security Groups für präzise, servicebezogene Regeln – NACLs für subnetzbasierte Baselines und spezielle Deny-Szenarien.

• Ebene: Security Group wirkt an der Ressource/ENI, NACL wirkt am Subnetz.
• Statefulness: Security Group ist stateful, NACL ist stateless.
• Regellogik: Security Group erlaubt nur (Allow-only), NACL erlaubt und verbietet (Allow/Deny).
• Regelreihenfolge: Security Groups werten Regeln nicht „priorisiert“ wie ACLs aus; NACLs nutzen Regelnummern und „first match wins“.
• Rückverkehr: Bei SG wird Rückverkehr automatisch erlaubt; bei NACL müssen Rückports explizit erlaubt sein.
• Feingranularität: SG kann oft andere SGs als Quelle/Ziel referenzieren (sehr praktisch für Microsegmentation); NACL arbeitet typischerweise mit CIDRs.

Warum der Unterschied „stateful vs. stateless“ operativ so entscheidend ist

Das stateful Verhalten von Security Groups reduziert Komplexität im Alltag: Wenn Ihre App eine Verbindung zu einer Datenbank initiiert, müssen Sie nicht zusätzlich die Ephemeral Ports „zurück“ freischalten. Bei NACLs ist genau das nötig: Jede Richtung zählt separat. Das führt zu einem Klassiker im Troubleshooting: Inbound sieht korrekt aus, aber die Antwortpakete werden outbound (oder inbound auf Rückports) gedroppt – und es entsteht ein Timeout statt eines klaren Fehlers.

Ephemeral Ports: Der häufigste Stolperstein bei NACLs

Viele Protokolle (vor allem TCP) verwenden für Client-seitige Verbindungen sogenannte Ephemeral Ports. Der Client wählt einen temporären Quellport aus einem Portbereich, der je nach Betriebssystem variieren kann. Wenn eine NACL diesen Portbereich nicht in der passenden Richtung erlaubt, scheitern Verbindungen trotz „offenem Server-Port“.

• Symptom: TCP-Verbindungen hängen und laufen in Timeouts
• Typische Ursache: Server-Port ist erlaubt, aber Ephemeral-Portbereich für Rückverkehr fehlt
• Praktischer Ansatz: Ephemeral-Portbereich in NACLs bewusst und dokumentiert freischalten – aber nur dort, wo nötig

Use Cases: Wann Security Groups die richtige Wahl sind

Security Groups sind das Standardwerkzeug für servicebezogene Zugriffskontrolle. Wenn Sie präzise beschreiben wollen, welche Workloads mit welchen anderen sprechen dürfen, sind Security Groups in der Regel die beste Option.

• Microsegmentation: App darf nur DB-Port erreichen, kein „seitlicher“ Zugriff auf andere Subnetze
• Least Privilege: minimale Ports, minimale Quellen (z. B. nur Load Balancer SG als Inbound)
• Service-to-Service Policies: Quelle/Ziel über SG-Referenzen statt IP-Listen pflegen
• Temporäre Freigaben: kontrolliert und nachvollziehbar (vor allem in IaC-Workflows)

Praxisbeispiel: Web → App → DB

• Web-Tier: Inbound 443 nur vom Load Balancer, Outbound nur zu App-Tier
• App-Tier: Inbound nur vom Web-Tier, Outbound zu DB-Port
• DB-Tier: Inbound nur vom App-Tier auf DB-Port, Outbound minimal (z. B. für Updates/Backups, wenn erforderlich)

Use Cases: Wann NACLs sinnvoll oder sogar notwendig sind

NACLs sind besonders dann hilfreich, wenn Sie subnetzweite „Guardrails“ brauchen oder wenn Sie gezielt Traffic blocken möchten. Da NACLs Deny-Regeln unterstützen, eignen sie sich auch für schnelle Abwehrmaßnahmen gegen bekannte Quellen, wenn Sie nicht auf jeder Ressource einzeln agieren wollen.

• Subnetz-Baselines: „In diesem Subnetz sind nur Ports X/Y erlaubt“ als grobe Schutzschicht
• Explizites Blocken: Deny bestimmter CIDRs (z. B. bekannte Scanner-IPs) als zusätzliche Barriere
• Compliance-Guardrails: zentral definierte Mindestregeln für Subnetze in sensiblen Zonen
• Blast-Radius-Kontrolle: Falls eine Ressource falsch konfiguriert wird, begrenzt die NACL die Schäden

Wichtig: NACLs ersetzen Security Groups nicht

Ein häufiger Fehler ist, NACLs als primären Sicherheitsmechanismus zu verwenden und Security Groups zu „öffnen“. Das führt oft zu unübersichtlichen CIDR-Listen, schwieriger Pflege und fehleranfälligen Änderungen. In der Praxis sind NACLs am wertvollsten als zusätzliche, robuste Schicht – nicht als feingranulares Policy-System.

Häufige Fehler bei Security Groups

Security Groups wirken auf den ersten Blick einfach, aber in Produktion entstehen wiederkehrende Fehlermuster. Die folgenden Punkte sind besonders häufig.

• Zu breite Inbound-Regeln: 0.0.0.0/0 auf Admin-Ports (SSH/RDP) oder Datenbankports
• Egress „alles erlaubt“ ohne Not: Outbound 0.0.0.0/0 als Standard – erhöht Risiko bei Kompromittierung
• Falsche Quelle: statt Load-Balancer-SG wird „das Subnetz“ oder eine zu breite CIDR genutzt
• Vergessene IPv6-Regeln: IPv4 ist gesperrt, IPv6 ist offen (oder umgekehrt), je nach Setup
• Health-Checks übersehen: Load Balancer Health Checks brauchen passende Inbound-Regeln
• Drift durch manuelle Änderungen: IaC definiert Regeln, aber Änderungen passieren „per Klick“ und verschwinden aus dem Code

Häufige Fehler bei NACLs

NACLs verursachen besonders oft stille Timeouts und schwer sichtbare Abbrüche, weil sie stateless sind und durch „first match wins“ schnell unerwartete Effekte haben können.

• Ephemeral Ports nicht erlaubt: Rückverkehr wird gedroppt, obwohl Server-Port offen ist
• Regelreihenfolge falsch: Eine zu breite Deny-Regel steht vor einer spezifischen Allow-Regel
• Nur eine Richtung konfiguriert: Inbound erlaubt, Outbound nicht (oder umgekehrt)
• Zu grobe CIDRs: Subnetzweite Regeln werden zu permissiv, weil man „nicht alles auflisten kann“
• Vergessene Sonderpfade: DNS, NTP, Repository-Zugriffe, Monitoring-Agents brauchen manchmal gezielte Freigaben
• Änderungen ohne Test: NACL-Änderungen können sofort viele Workloads betreffen

Troubleshooting: So unterscheiden Sie SG- und NACL-Probleme schnell

Wenn Verbindungen scheitern, ist das Ziel, in wenigen Minuten zu entscheiden, ob Security Groups, NACLs oder Routing die Ursache sind. Für die Praxis hilft ein klares Vorgehen, das immer gleich abläuft.

Step-by-Step Diagnose

• Schritt 1: Prüfen, ob die betroffene Ressource überhaupt die erwartete Security Group hat (und nicht eine falsche/alte).
• Schritt 2: Inbound-Regeln der Ziel-SG für Port/Protokoll und Quelle verifizieren (besser: SG-Referenz statt CIDR, wenn möglich).
• Schritt 3: Outbound-Regeln der Quell-SG prüfen (Egress ist nicht automatisch offen).
• Schritt 4: NACL des Quell- und Ziel-Subnetzes prüfen (Inbound und Outbound, inkl. Ephemeral Ports).
• Schritt 5: Regelreihenfolge in NACL kontrollieren (first match wins, Deny vor Allow?).
• Schritt 6: Flow Logs heranziehen, um Drops/Rejects und betroffene Ports zu bestätigen.

Für Netzwerkbeobachtung sind VPC Flow Logs eine der hilfreichsten Quellen, weil sie Sichtbarkeit in akzeptierten und verworfenen Traffic geben – insbesondere bei NACL-Themen.

Best Practices: Ein robustes Sicherheitsdesign mit SG und NACL

Ein gutes Modell nutzt beide Mechanismen dort, wo sie am stärksten sind: Security Groups für präzise Service-Policies, NACLs für stabile Baselines und gezielte Deny-Guardrails. Damit erhalten Sie Sicherheit und Debuggability, ohne Ihr Regelwerk zu verkomplizieren.

• Security Groups als Primärkontrolle: Default „deny“, nur explizit erlauben, SG-Referenzen bevorzugen.
• Egress bewusst gestalten: Outbound nicht pauschal öffnen; wichtige Ziele/Ports definieren (z. B. nur 443 zu externen APIs).
• NACLs als Baseline: nur wenige, gut dokumentierte Regeln; keine „Policy-Orgie“ mit hunderten Einträgen.
• Ephemeral Ports dokumentieren: Portbereiche und Gründe festhalten; bei Änderungen Test-Plan haben.
• IaC und Reviews: Änderungen an SG/NACL über Code, mit Peer Review und Rollback-Möglichkeit.
• Segmentierung: Subnetze nach Risikoprofil (public/private/isoliert) und klare Standard-NACLs pro Typ.
• Change-Sicherheit: progressive Änderungen (z. B. zuerst Monitoring, dann Enforce), besonders bei NACLs.

Praxis-Patterns für Produktion

Diese Patterns sind bewusst praxisnah und eignen sich für viele Standardumgebungen. Sie sind keine starre Vorgabe, aber ein belastbarer Ausgangspunkt.

Pattern: „Private Subnet streng, Egress kontrolliert“

• SG: Outbound nur 443 zu definierten Zielen (oder zu einem Egress-Proxy), Inbound nur von notwendigen internen Quellen.
• NACL: Baseline erlaubt nur notwendige Ports (z. B. 443 outbound), plus Ephemeral-Ports für Rückverkehr, optional Deny für bekannte bösartige CIDRs.

Pattern: „Public Entry nur über Load Balancer“

• SG: Inbound 80/443 nur am Load Balancer; App-Instanzen erlauben Inbound ausschließlich vom LB (SG-Referenz).
• NACL: Public Subnet Baseline minimal, keine administrativen Ports offen.

Checkliste: Häufige Fehler vermeiden (Copy-Paste)

• Kein 0.0.0.0/0 auf Admin- oder DB-Ports (Ausnahmen nur mit starker Begründung und Zusatzschutz).
• Egress-Regeln der Security Groups nicht vergessen (Outbound ist ein Sicherheits- und Funktionsfaktor).
• Bei NACLs immer Inbound und Outbound konfigurieren, inklusive Rückverkehr/Ephemeral Ports.
• NACL-Regelnummern prüfen: spezifische Allows vor breiten Denies, „first match wins“ beachten.
• Load-Balancer-Health-Checks und interne Monitoring-Ports in Regeln berücksichtigen.
• IPv6 explizit mitdenken, wenn im Einsatz (separate Regeln und mögliche „offene“ Pfade).
• Flow Logs aktivieren, um Drops/Rejects objektiv zu sehen und Hotspots zu identifizieren.
• Änderungen per IaC mit Review und Rollback durchführen, nicht „nur schnell klicken“.

Outbound-Links zu offiziellen Quellen und Standards

• AWS: Security Groups in der VPC
• AWS: Network ACLs (NACLs)
• AWS: VPC Flow Logs
• Azure: Network Security Groups (NSG) Überblick
• Google Cloud: VPC Firewall Rules

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.