Общая информация о группах безопасности
Мы не рекомендуем настраивать группы безопасности в существующих сетях, где работает балансировщик нагрузки или кластер облачных баз данных, это может привести к сбою в работе балансировщика и нарушению репликации в кластере. Чтобы избежать сбоев и не потерять данные, для настройки групп создайте новую приватную сеть или публичную подсеть и включите в ней фильтрацию трафика.
Группа безопасности — набор правил для фильтрации трафика, который применяется на порты облачных серверов в рамках одного пула.
В отличие от облачного файрвола позволяет фильтровать весь трафик, проходящий через порт, в том числе трафик между устройствами в одной сети и подсети.
Работать с группами безопасности м�ожно в панели управления, с помощью OpenStack CLI или Terraform.
Принцип работы
Группа безопасности назначается на один или все порты облачного сервера и фильтрует входящий и исходящий трафик порта по заданным правилам. Если в группе нет правил, весь трафик отбрасывается.
Для работы групп безопасности должна быть включена фильтрация трафика (port security).
В группах безопасности используются объекты модели OpenStack:
- Security Group — группа безопасности. Служит контейнером для правил, которые разрешают прохождение трафика;
- Rule — правило в группе безопасности. Разрешает прохождение трафика с определенными параметрами.
Группы безопасности могут работать в одном из режимов:
- stateful (по умолчанию) — с учетом состояния сессий. Если трафик прошел через порт и сессия установилась, ответный трафи�к в рамках этой сессии пройдет даже без правила. Таймаут сессии — 300 секунд;
- stateless — состояние сессии не учитывается.
Вы можете указать режим при создании группы изменить режим после создания группы.
На одном порте может работать несколько групп безопасности. Их правила применяются одновременно: если трафик соответствует хотя бы одному правилу, он будет пропущен.
Группа безопасности по умолчанию
В одном проекте для каждого пула создается группа безопасности по умолчанию с именем default. Группа безопасности по умолчанию назначается на порт при его создании, но вы можете назначить другую группу безопасности при создании порта или сервера. Группы безопасности по умолчанию не назначаются автоматически в сетях, где выключена фильтрация трафика (port security).
Группа безопасности по умолчанию разрешае�т прохождение всего входящего и исходящего трафика и работает в режиме stateful. Чтобы ограничить трафик с помощью группы по умолчанию, вы можете управлять правилами в ней — удалять правила и добавлять новые.
Группу по умолчанию нельзя удалить.
Правила
Правила работают по разрешающему принципу: если трафик соответствует хотя бы одному правилу в группе, он будет пропущен. Порядок правил не имеет значения.
Правило разрешает трафик на основе параметров запроса:
- направление — входящий или исходящий;
- протокол — TCP, UDP, ICMP, AH, DCCP, EGP, ESP, GRE, IGMP, IPv6-ENCAP, IPv6-Frag, IPv6-ICMP, IPv6-NoNxt, IPv6-Opts, IPv6-Route, OSPF, PGM, RSVP, SCTP, UDP Lite, VRRP, IP-in-IP или любой протокол;
- порт (для входящего и исходящего трафика) — порт или диапазон портов, с которыми может устанавливаться соединение. Указываются порты на устройстве, на которое назначена группа с правилом;
- источник трафика (для входящего трафика) — IP-адрес, подсеть или другая группа безопасности;
- назначение трафика (для исходящего трафика) — IP-адрес, подсеть или другая группа безопасности.
При создании новой группы безопасности в ней по умолчанию создаются два правила, которые разрешают весь исходящий трафик. Вы можете удалить эти правила и добавить новые.
Фильтрация трафика (port security)
Фильтрация трафика (port security) — сетевая функция для защиты от несанкционированного доступа и атак, которая необходима для работы групп безопасности. Полностью запрещает прохождение трафика, если на порт не назначена группа безопасности с разрешающими правилами. Фильтрация трафика по умолчанию выключена во всех сетях Selectel.
Мы рекомендуем для работы с группами безопасности создать новую сеть и включить в ней фильтрацию трафика — в этом случае на все новые порты в сети будет назначаться группа безопасно�сти по умолчанию. Вы также сможете назначить другую группу безопасности при создании порта или сервера.
Фильтрация трафика позволяет использовать для порта только одну закрепленную пару IP/MAC-адрес, поэтому будут блокироваться MAC/IP spoofing, работа VPN, VRRP и оверлейных сетей. Если вы используете решения на их основе, на портах с группой безопасности нужно дополнительно настроить разрешенные IP/MAC-адреса, которые могут использоваться для отправки трафика через порт.
Ограничения
В одном проекте можно создать:
- не более 20 групп безопасности с учетом группы безопасности по умолчанию;
- не более 200 правил.
Количество групп безопасности и правил на одном порте ограничено лимитом проекта — не более 20 групп, не более 200 правил.
В Selectel по умолчанию заблокированы некоторые TCP/UDP-порты. Если входящий �или исходящий трафик через порт заблокирован по умолчанию, то он не будет проходить даже при наличии разрешающего правила.
Стоимость
Группы безопасности предоставляются бесплатно.