Применение групп безопасности для сегментации и изоляции ресурсов
Кратко:
- Группы безопасности используются для сегментации и изоляции ресурсов в облачных инфраструктурах.
- Изоляция ресурсов важна для создания нескольких команд или подразделений компании, разграничения SaaS-сервисов и обеспечения контролируемого доступа в интернет.
- Без использования групп безопасности требуется создание нескольких виртуальных сетей и настройка межсетевых экранов, что усложняет эксплуатацию и повышает вероятность ошибок.
- Использование групп безопасности упрощает решение задачи, так как требуется только одна сеть для организации или проекта.
- В подсетях создаются виртуальные машины и другие ресурсы, на которые назначаются группы безопасности, определяющие доступ к ресурсам сегмента и куда имеют доступ сами ресурсы.
- При использовании групп безопасности не требуется сложная маршрутизация и дополнительные настройки межсетевых экранов, а при появлении новых проектов и ресурсов достаточно назначить им группу безопасности и сослаться на неё в других группах.
- Использование групп безопасности обеспечивает защиту облачной инфраструктуры и упрощает её администрирование.
Применение групп безопасности для сегментации и изоляции ресурсов
На этом уроке вы узнаете, как группы безопасности могут использоваться для сегментации и изоляции ресурсов.
Изоляция ресурсов может быть важной во многих сценариях, например, когда требуется:
- создать инфраструктуру, в которой работает несколько команд или подразделений компании;
- разграничить инфраструктуры пользователей какого-либо SaaS-сервиса, чтобы они пользовались общими ресурсами, но не видели работу друг друга;
- обеспечить общий контролируемый доступ в интернет.
Рассмотрим следующую ситуацию. Предположим, наша облачная инфраструктура должна включать три сетевых сегмента: сегмент с общими сетевыми ресурсами для доступа в интернет, сегмент команды разработки и сегмент базы данных. Перед нами стоит задача повысить безопасность инфраструктуры путем разграничения этих сегментов и их изоляции друг от друга.
Эту задачу можно решить двумя путями: с использованием групп безопасности и без использования. Давайте сравним.
Вариант 1. Без использования групп безопасности
Если группы безопасности не использовать, то примерное решение будет выглядеть так.
Нам потребуется создать три виртуальных сети (на схеме они обозначены как
VPC – public-net, VPC – dev-net и VPC – db-net). В каждой из них надо настроить корректную маршрутизацию, чтобы трафик передавался только в те подсети, куда он должен идти. Далее в каждой сети надо развернуть и настроить несколько виртуальных межсетевых экранов с несколькими интерфейсами каждый, которые будут обеспечивать маршрутизацию пакетов. В межсетевых экранах понадобится настроить правила фильтрации, правила маршрутизации и правила доступа.Такая схема обеспечивает безопасность, но она сложна в эксплуатации. К её минусам относятся:
- обязательное использование межсетевых экранов для сегментации;
- настройка безопасности облака через интерфейсы сторонних приложений. Администратору придется постоянно переключаться между консолью управления Yandex Cloud и интерфейсом межсетевого экрана;
- необходимость настраивать одновременно параметры и облачных сетей, и межсетевого экрана заметно усложняет процесс и повышает вероятность ошибок.
Вариант 2. С использованием групп безопасности
Использование групп безопасности заметно упрощает решение задачи.
Во-первых, понадобится только одна сеть на всю организацию или проект. В этой сети создаются подсети: по одной для каждого из нужных нам трёх сегментов и подсеть для администраторов. В подсетях создаются виртуальные машины и другие необходимые ресурсы, на которые назначаются группы безопасности.
Каждая группа безопасности будет определять, во-первых, кто имеет доступ к ресурсам сегмента и, во-вторых, куда имеют доступ сами эти ресурсы. Когда используется такая схема, нет необходимости разворачивать отдельные сетевые экраны и настраивать сложную маршрутизацию. Требуется проанализировать структуру организации или проекта, понять кому какой доступ нужен и написать соответствующие правила для групп безопасности.
Еще одно преимущество использования групп безопасности для сегментации и изоляции ресурсов заключается в том, что при появлении новых проектов и новых ресурсов не нужно задумываться о новой маршрутизации и дополнительных настройках межсетевых экранов. Если, например, в инфраструктуре появилась новая база данных, достаточно назначить ей группу безопасности и сослаться на неё в других группах.
Таким образом, использование групп безопасности не только обеспечивает защиту облачной инфраструктуры, но и помогает значительно упростить её администрирование.