Se você já criou uma instância EC2 na AWS, deve ter notado que existe um “negócio” chamado Security Group aparecendo ali na configuração.
Mas o que é isso, afinal?É bem mais simples e importante do que parece.
Vamos falar sobre Security Groups, os firewalls virtuais que protegem suas instâncias EC2, e sobre as principais portas que você precisa conhecer para se comunicar com elas.
O que é um Security Group?
Pense no Security Group (SG) como uma cerca invisível que protege sua instância EC2. Ele controla quem pode entrar (tráfego de entrada) e quem pode sair (tráfego de saída) da sua instância. Security Groups não bloqueiam ativamente nada, eles permitem o que você autoriza. Ou seja: você cria regras dizendo “esse tipo de tráfego pode passar”, e todo o resto é automaticamente bloqueado.
Como o tráfego funciona?
Imagine o seguinte cenário:
Você está no seu computador, tentando acessar uma instância EC2 na AWS. Essa instância tem um Security Group configurado ao redor dela como um escudo de rede. Esse SG tem duas categorias de regras:
| Tipo de Regra | Direção | Exemplo |
| Inbound - Entrada | De fora - para dentro da instância | Permitir SSH (porta 22) para conectar via terminal |
| Outbound - Saída | De dentro - para fora da instância | Permitir que a instância acesse a Internet (ex: baixar atualizações) |
Por padrão:
- Todo o tráfego de entrada é bloqueado 🚫
- Todo o tráfego de saída é liberado ✅
Isso significa que, se você tentar acessar uma EC2 sem configurar uma regra de entrada, vai ver a tela travando ou o famoso timeout. Mas se receber “Connection Refused”, quer dizer que o firewall deixou passar, só que o app dentro da instância não respondeu o que é um bom sinal, pelo menos do ponto de vista da rede 😄
Estrutura de uma regra de Security Group
Cada regra é composta por quatro partes principais:
| Campo | Descrição | Exemplo |
| Tipo | O tipo de conexão (SSH, HTTP, etc.) | SSH |
| Protocolo | TCP ou UDP | TCP |
| Porta | O número da porta usada para a comunicação | 22 |
| Origem/Destino | De onde vem (ou para onde vai) o tráfego | 0.0.0.0/0 - qualquer IP |
O endereço 0.0.0.0/0 significa “todo mundo na Internet”. Use com cuidado! Ele é ótimo para testes, mas nunca deixe portas sensíveis abertas para o mundo real.
Dica prática: Grupos que se referenciam
Um recurso bem útil (e um pouco mais avançado) é permitir que Security Groups se referenciem.
Por exemplo:
- Você tem uma EC2 rodando um banco de dados com o SG chamado db-sg.
- Outra EC2 rodando o backend com o SG chamado api-sg.
Você pode criar uma regra no db-sg dizendo: Permitir tráfego do api-sg na porta 3306 (MySQL). Assim, somente a EC2 do backend consegue falar com o banco sem precisar se preocupar com IPs! É uma forma elegante e segura de conectar serviços dentro da nuvem.
Boas práticas com Security Groups
Algumas regrinhas que valem lembrar:
- Um SG pode ser usado em várias instâncias. Ou seja, não precisa criar um novo para cada EC2.
- Uma instância pode ter vários SGs. Por exemplo, um para SSH e outro para HTTP.
- Eles são regionais. Cada região da AWS tem seus próprios SGs se mudar de região, precisa recriar.
- Eles ficam fora da EC2. Se o tráfego é bloqueado, a instância nem fica sabendo que alguém tentou conectar.
- Crie um SG exclusivo para SSH. Assim você controla melhor quem pode acessar via terminal (porta 22).
As portas clássicas que você precisa conhecer
Agora vem a parte prática: as portas mais usadas no dia a dia com EC2 👇
| Porta | Protocolo | Nome/Uso | Sistema/Observação |
| 22 | TCP | SSH (Secure Shell) | Login em instâncias Linux |
| 21 | TCP | FTP (File Transfer Protocol) | Envio de arquivos (não seguro) |
| 22 | TCP | SFTP (SSH File Transfer Protocol) | Upload seguro via SSH |
| 80 | TCP | HTTP | Sites não seguros |
| 443 | TCP | HTTPS | Sites seguros (com SSL/TLS) |
| 3389 | TCP | RDP (Remote Desktop Protocol) | Login em instâncias Windows |
Dica: Se você está estudando com uma instância Linux, vai usar muito a porta 22 (SSH). Se estiver mexendo com Windows, a estrela será a 3389 (RDP).
Resumindo tudo
- Security Groups são firewalls virtuais das suas instâncias EC2.
- Eles controlam o tráfego de entrada e saída com base em regras simples.
- Você pode criar regras por IP, protocolo e porta.
- Por padrão, entrada bloqueada / saída liberada.
- E conhecer as portas clássicas (22, 80, 443, 3389) é essencial para não se perder.
Os Security Groups são um dos pilares da segurança na AWS e dominar o básico deles vai te poupar muita dor de cabeça mais pra frente. A dica é: teste, erre, acerte e experimente! Crie uma EC2, abra e feche portas, veja o que muda. Assim, você entende na prática como o tráfego flui e como proteger seus ambientes com confiança.
Top comments (0)