Firewall virtual a nivel de instancia EC2 que controla el tráfico entrante y saliente. Funciona como lista de reglas de permiso (allow-only), no hay reglas de denegación explícita. Stateful: si permites entrada, la respuesta sale automáticamente.
Fundamental en CLF-C02 y SAA-C03. Diferencia con NACL: Security Groups son stateful y a nivel de instancia; NACLs son stateless y a nivel de subred. Pregunta: para permitir solo tráfico HTTPS a una EC2 → Security Group con puerto 443 de entrada.