Data Science

VS. Группы безопасности

Кратко:

  • Группы безопасности выполняют функцию межсетевого экрана и контролируют входящий и исходящий трафик ВМ.
  • В консоли управления инструмент находится в разделе Virtual Private Cloud.
  • Если в облаке нет групп безопасности, нужно перейти по ссылке https://console.cloud.yandex.ru/link/vpc/security-groups.
  • Группа безопасности назначается сетевому интерфейсу ВМ и содержит правила получения и отправки трафика.
  • Правила определяют протоколы и IP-адреса для приема и отправки трафика.
  • Если на ВМ назначены несколько групп безопасности, учитываются правила из всех групп.
  • Если нет правил для исходящего трафика, ответный трафик будет поступать на ВМ, но не инициироваться.

Группы безопасности

Группы безопасности выполняют функцию межсетевого экрана и позволяют контролировать входящий и исходящий трафик ВМ.
В консоли управления этот инструмент находится в разделе Virtual Private Cloud. Чтобы переключиться на него, нужно нажать кнопку Группы безопасности (значок щита) в панели слева.
Если в вашем облаке групп безопасности ещё нет, эта кнопка может не отображаться в интерфейсе. В этом случае для создания группы перейдите по ссылке https://console.cloud.yandex.ru/link/vpc/security-groups. После того как первая группа безопасности будет создана, кнопка Группы безопасности появится на боковой панели каждой облачной сети.
Группа безопасности назначается сетевому интерфейсу при создании или изменении ВМ и содержит правила получения и отправки трафика.
 
👉 Главный принцип: запрещено всё, что не разрешено явно.
Поэтому, если назначить сетевому интерфейсу ВМ группу безопасности без правил, ВМ не сможет передавать и принимать трафик и у вас не получится зайти на неё по SSH.

Правила

Нажмите кнопку Создать группу и добавьте для неё правила: определите протоколы и IP-адреса для приёма и отправки трафика.
Если сетевому интерфейсу ВМ назначены несколько групп безопасности, то учитываются правила из всех групп. В этом случае на ВМ поступит трафик, который подпадает хотя бы под одно из правил в группах.
Правила также хранят состояния сессий. Группы безопасности отслеживают состояние соединений и сопоставляют трафик ответа с уже открытой сессией, чтобы разрешить его приём.
Например, правило позволяет ВМ создать исходящую сессию на 80-й порт какого-либо IP-адреса. Ответы от 80-го порта на порт источника, откуда отправлялся запрос, будут автоматически разрешены.

Виды правил

  • Для входящего трафика. Определяют диапазоны адресов и портов или другие группы безопасности, откуда ВМ могут принимать трафик.
  • Для исходящего трафика. Определяют диапазоны адресов и портов или другие группы безопасности, куда ВМ могут отправлять трафик.
Если в группе безопасности есть правила только для исходящего трафика, но нет для входящего — ответный трафик будет поступать на ВМ. А если есть правила только для входящего трафика, ВМ сможет лишь отвечать на запросы, но не инициировать их.
Если две ВМ находятся в одной группе безопасности без правил, они не смогут обмениваться трафиком. Выберите любое решение:
  • Используйте правило Self для всей группы. Оно разрешает любой трафик между ресурсами, которые относятся к одной и той же группе безопасности.
  • Точно укажите адреса и порты ресурсов в правилах.

IP-адреса и диапазоны адресов

В правилах вы можете разрешать прием и отправку трафика на IP-адреса или диапазоны адресов. Указывайте конкретный IP-адрес в правилах с помощью СIDR с маской /32.
Чтобы разрешить передачу трафика на любые адреса по любым протоколам, укажите CIDR 0.0.0.0 с маской /0 и в поле выбора протокола выберите Любой.
Группы безопасности не блокируют отправку трафика на адреса сервисов, необходимых для работы ВМ и виртуальной сети. Это:
  • Адрес сервера метаданных — 169.254.169.254.
  • Адрес DNS-сервера — второй по порядку внутренний IP-адрес (обычно x.x.x.2) в каждой подсети.
Чтобы сетевой балансировщик мог проверять состояние подключённых к нему ресурсов, разрешите передачу трафика между диапазонами адресов 198.18.235.0/24 и 198.18.248.0/24 и целевыми ресурсами.

Параметры по умолчанию

Если не указано иное, группа безопасности автоматически создаётся в новой сети и назначается ВМ при подключении к подсетям новой сети, если у них нет ни одной группы безопасности.
Группа безопасности по умолчанию имеет следующие свойства:
  • в новой сети разрешает весь сетевой трафик в обоих направлениях — исходящий (egress) и входящий (ingress);
  • действует для трафика, проходящего через все подсети в сети, где она создана;
  • работает лишь в том случае, если на объект еще явно не назначена группа безопасности;
  • её невозможно удалить, она автоматически удаляется вместе с удалением сети.
Вы создали группу безопасности с открытым портом 80. Как зайти на ВМ по SSH?
 
Открыть порт 22 - Правильно

 

Категория: Cloud Services Engineer
Просмотров: 186