Security Group (группа безопасности) — это виртуальный брандмауэр, который управляет трафиком на уровне экземпляров в облачных средах, таких как Amazon Web Services (AWS), Microsoft Azure или Google Cloud. Группы безопасности позволяют контролировать входящий и исходящий трафик для ресурсов, находящихся в виртуальной сети, например, в VPC (Virtual Private Cloud). Рассмотрим более подробно основные аспекты работы с группами безопасности.
1. Назначение Security Group
Security Group используется для управления доступом к ресурсам, таким как виртуальные машины (EC2 в AWS) или контейнеры, работающие в облаке. Она регулирует трафик:
Входящий трафик (incoming): контроль запросов, поступающих на экземпляр.
Исходящий трафик (outgoing): контроль трафика, который экземпляр отправляет в другие сети или интернет.
Группы безопасности защищают ресурсы, фильтруя трафик по ряду параметров, таких как IP-адрес, порт и протокол.
2. Принцип работы
Группы безопасности являются сохранёнными (stateful), что означает:
Когда вы разрешаете входящее соединение, ответное исходящее соединение автоматически разрешается.
Аналогично, если разрешено исходящее соединение, ответное входящее соединение также будет автоматически разрешено.
Например, если запрос отправлен с вашего ресурса, ответ на этот запрос всегда будет разрешён, независимо от правил входящей группы безопасности.
3. Основные компоненты Security Group
Группа безопасности состоит из правил, которые определяют, какой трафик может пройти к ресурсу или от ресурса.
3.1. Правила входящего трафика (inbound rules)
Правила определяют, какой трафик может поступать на ресурс:
Источник трафика: вы можете указать IP-адрес или диапазон адресов (например, 192.168.1.0/24) или другую группу безопасности в качестве источника.
Протокол: можно выбрать конкретный протокол (например, TCP, UDP, ICMP) или разрешить все протоколы.
Порт: указывается номер порта или диапазон портов (например, 22 для SSH).
Пример: правило, которое разрешает доступ через SSH (TCP-порт 22) с IP-адреса 203.0.113.0.
3.2. Правила исходящего трафика (outbound rules)
Определяют, какой трафик ресурс может отправлять:
Назначение трафика: указываются IP-адрес или диапазон адресов, куда будет отправляться трафик.
Протокол и порт: как и для входящих правил, вы выбираете протокол и порт.
Пример: правило, которое разрешает весь исходящий трафик на порт 80 (HTTP) для всех IP-адресов.
4. Ограничения
Существуют определённые квоты на использование групп безопасности:
Количество групп безопасности на интерфейс: ограничено максимальное количество групп безопасности, которые можно привязать к одному сетевому интерфейсу (например, в AWS — до 5 групп на интерфейс).
Количество правил: максимальное количество правил на одну группу безопасности (например, в AWS — до 60 правил на одну группу).
Количество групп безопасности на VPC: существует ограничение на количество групп, которые можно создать в одном VPC (например, в AWS — до 2500 групп на VPC).
5. Характеристики Security Group
Stateful: как было упомянуто ранее, группа безопасности отслеживает соединения, что позволяет автоматически разрешать ответные пакеты.
Привязка к ресурсам: группа безопасности может быть назначена одному или нескольким ресурсам, находящимся в том же VPC, что и группа безопасности.
Динамическое обновление: изменения в правилах группы безопасности применяются мгновенно, без необходимости перезагрузки или перезапуска ресурсов.
6. Преимущества Security Group
Упрощение управления: вместо настройки правил брандмауэра для каждого экземпляра, можно создать группы безопасности для различных ресурсов с одинаковыми требованиями.
Централизованное управление: изменения правил для группы безопасности сразу же применяются ко всем ресурсам, ассоциированным с этой группой.
Гибкость и безопасность: группы безопасности позволяют контролировать трафик на уровне приложения или сети, поддерживая высокую степень изоляции и защиты ресурсов.
Security Group — это мощный инструмент для управления безопасностью в облачной среде, который помогает контролировать доступ к ресурсам и обеспечивает высокую гибкость и надежность.
Чтобы создать группу безопасности :
Перейдите в раздел Сеть > Группы безопасности . На верхней панели инструментов нажмите Создать .
В диалоговом окне «Создание группы безопасности» введите следующую информацию:
Имя – имя группы безопасности.
Описание (необязательно) — описание группы безопасности.
VPC — выберите VPC, с которым должна быть связана группа безопасности.
Рядом с Правилами нажмите Добавить . Для каждого правила введите следующее:
Версия интернет-протокола — выберите IPV4 или IPV6.
Направление - Выберите EGRESS для определения правила для исходящего трафика. Выберите INGRESS для определения правила для входящего трафика
Протокол - Укажите протокол, к которому будет применяться правило - 'TCP', 'UDP' или 'ICMP'. Разрешите трафик с любого протокола, выбрав 'Любой'.
Начальный порт и конечный порт
Если Протокол = «Любой», оставьте поле пустым.
Если Протокол = «TCP» или «UDP», введите диапазон портов для правила.
Если Протокол = «ICMP», введите Тип сообщения ICMP в первом поле и Код ICMP во втором поле.
Источник или пункт назначения . В зависимости от направления правила выберите один из следующих вариантов, чтобы ограничить или разрешить трафик из указанных источников (INGRESS) или в указанные пункты назначения (EGRESS).
Любой : Без ограничений.
Группа : Ограничить определенной группой.
Подсеть : ограничение определенным CIDR или IP-адресом.
Нажмите OK , чтобы создать группу безопасности. Новая группа безопасности появится в представлении Networking > Security Groups .
Чтобы добавить еще одно правило, нажмите «Добавить» еще раз.
Операции группы безопасности
После создания группы безопасности она будет отображаться в списке в представлении Networking > Security Group . Следующие операции можно выполнить, выбрав группу безопасности из списка и нажав на соответствующий значок.
Из верхней панели инструментов:
Изменить — добавить или удалить правила в выбранной группе безопасности.
Отсоединить — отсоединить группу безопасности от всех связанных сетевых интерфейсов.
Удалить — удалить выбранную группу безопасности.
Из нижней панели инструментов:
Правила — просмотр правил, связанных с выбранной группой безопасности.
Виртуальные машины — просмотр экземпляров виртуальных машин, связанных с выбранной группой безопасности.
События — просмотр событий конфигурации (информации) или аварийных сигналов для таблицы маршрутизации.
Получите консультацию менеджера!
Нужно уточнить детали? Обсудить требования? У вас сложный проект? Мы поможет подобрать правильное решение.
'/%3e%3cdefs%3e%3clinearGradient%20id='paint0_linear_1362_1644'%20x1='98.2981'%20y1='-36.0977'%20x2='98.2981'%20y2='180.309'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='white'%20stop-opacity='0.8'/%3e%3cstop%20offset='1'%20stop-color='%23B5E275'/%3e%3c/linearGradient%3e%3c/defs%3e%3c/svg%3e)