Общая информация о группах безопасности
Мы не рекомендуем настраивать группы безопасности в существующих сетях, где работает балансировщик нагрузки или кластер облачных баз данных, это может привести к сбою в работе балансировщика и нарушению репликации в кластере. Чтобы избежать сбоев и не потерять данные, для настройки групп создайте новую приватную сеть или публичную подсеть и включите в ней фильтрацию трафика.
Группа безопасности — набор правил для фильтрации трафика, который применяется на порты облачных серверов в рамках одного пула.
В отличие от облачного файрвола позволяет фильтровать весь трафик сервера. Облачный файрвол назначается на порт облачного роутера, поэтому не фильтрует трафик между устройствами в одной сети и подсети, а также трафик на адреса из публичных подсетей.
Группы безопасности не подходят для защиты от DDoS-атак, для этого используйте услуги защиты от DDoS.
Работать с группами безопасности можно в панели управления, с помощью OpenStack CLI или Terraform.
Принцип работы
Группа безопасности назначается на один или все порты облачного сервера и фильтрует входящий и исходящий трафик порта по заданным правилам. Если в группе нет правил, весь трафик отбрасывается.
Для работы групп безопасности в сети должна быть включена фильтрация трафика (port security).
В группах безопасности используются объекты модели OpenStack:
- Security Group — группа безопасности. Служит контейнером для правил, которые разрешают прохождение трафика;
- Rule — правило в группе безопасности. Разрешает прохождение трафика с определенными параметрами.
Группы безопасности могут работать в одном из режимов:
- stateful (по умолчанию) — с учетом состояния сессий. Если трафик прошел через порт и сессия установилась, ответный трафик в рамках этой сессии пройдет даже без правила. Таймаут сессии — 300 секунд;
- stateless — состояние сессии не учитывается.
Вы можете указать режим при создании группы и изменить режим после создания группы.
На одном порте может работать несколько групп безопасности. Их правила применяются одновременно: если трафик соответствует хотя бы одному правилу, он будет пропущен.
Группа безопасности по умолчанию
В одном проекте для каждого пула создается группа безопасности по умолчанию с именем default
. Если в сети включена фильтрация трафика (port security), группа безопасности по умолчанию назначается на все порты в этой сети при их создании. Для облачного сервера вы можете назначить другую группу безопасности при создании порта или сервера.
Группа безопасности по умолчанию разрешает прохождение всего входящего и исходящего трафика и работает в режиме stateful. Чтобы ограничить трафик с помощью группы по умолчанию, вы можете управлять правилами в ней — удалять правила и добавлять новые.
Не удаляйте правила в группе безопасности по умолчанию, если в проекте и пуле этой группы работает кластер Managed Kubernetes. Любые изменения в группе по умолчанию могут привести к сбоям в работе кластера.
Группу по умолчанию нельзя удалить.
Правила
Правила работают по разрешающему принципу: если трафик соответствует хотя бы одному правилу в группе, он будет пропущен. Порядок правил не имеет значения.
Правило разрешает трафик на основе параметров запроса:
- направление — входящий или исходящий;
- протокол — TCP, UDP, ICMP, AH, DCCP, EGP, ESP, GRE, IGMP, IPv6-ENCAP, IPv6-Frag, IPv6-ICMP, IPv6-NoNxt, IPv6-Opts, IPv6-Route, OSPF, PGM, RSVP, SCTP, UDP Lite, VRRP, IP-in-IP или любой протокол;
- порт (для входящего и исходящего трафика) — порт или диапазон портов, с которыми может устанавливаться соединение. Указываются порты на устройстве, на которое назначена группа с правилом;
- источник трафика (для входящего трафика) — IP-адрес, подсеть или другая группа безопасности;
- назначение трафика (для исходящего трафика) — IP-адрес, подсеть или другая группа безопасности.
При создании группы безопасности в ней по умолчанию создаются два правила, которые разрешают весь исходящий трафик. Эти правила нужны, чтобы при создании сервер мог запросить необходимые данные для своей настройки. Вы можете удалить эти правила и добавить новые.
Ограничения
В одном проекте можно создать:
- не более 20 групп безопасности с учетом группы безопасности по умолчанию;
- не более 200 правил.
Коли чество групп безопасности и правил на одном порте ограничено лимитом проекта — не более 20 групп, не более 200 правил.
В Selectel по умолчанию заблокированы некоторые TCP/UDP-порты. Если входящий или исходящий трафик через порт заблокирован по умолчанию, то он не будет проходить даже при наличии разрешающего правила.
Стоимость
Группы безопасности предоставляются бесплатно.