Перейти к основному содержимому
Общая информация о группах безопасности
Последнее изменение:

Общая информация о группах безопасности

осторожно

Мы не рекомендуем настраивать группы безопасности в существующих сетях, где работает балансировщик нагрузки или кластер облачных баз данных, это может привести к сбою в работе балансировщика и нарушению репликации в кластере. Чтобы избежать сбоев и не потерять данные, для настройки групп создайте новую приватную сеть или публичную подсеть и включите в ней фильтрацию трафика.

Группа безопасности — набор правил для фильтрации трафика, который применяется на порты облачных серверов в рамках одного пула.

В отличие от облачного файрвола позволяет фильтровать весь трафик сервера. Облачный файрвол назначается на порт облачного роутера, поэтому не фильтрует трафик между устройствами в одной сети и подсети, а также трафик на адреса из публичных подсетей.

Группы безопасности не подходят для защиты от DDoS-атак, для этого используйте услуги защиты от DDoS.

Работать с группами безопасности можно в панели управления, с помощью OpenStack CLI или Terraform.

Принцип работы

Группа безопасности назначается на один или все порты облачного сервера и фильтрует входящий и исходящий трафик порта по заданным правилам. Если в группе нет правил, весь трафик отбрасывается.

Для работы групп безопасности в сети должна быть включена фильтрация трафика (port security).

В группах безопасности используются объекты модели OpenStack:

  • Security Group — группа безопасности. Служит контейнером для правил, которые разрешают прохождение трафика;
  • Rule — правило в группе безопасности. Разрешает прохождение трафика с определенными параметрами.

Группы безопасности могут работать в одном из режимов:

  • stateful (по умолчанию) — с учетом состояния сессий. Если трафик прошел через порт и сессия установилась, ответный трафик в рамках этой сессии пройдет даже без правила. Таймаут сессии — 300 секунд;
  • stateless — состояние сессии не учитывается.

Вы можете указать режим при создании группы и изменить режим после создания группы.

На одном порте может работать несколько групп безопасности. Их правила применяются одновременно: если трафик соответствует хотя бы одному правилу, он будет пропущен.

Группа безопасности по умолчанию

В одном проекте для каждого пула создается группа безопасности по умолчанию с именем default. Если в сети включена фильтрация трафика (port security), группа безопасности по умолчанию назначается на все порты в этой сети при их создании. Для облачного сервера вы можете назначить другую группу безопасности при создании порта или сервера.

Группа безопасности по умолчанию разрешает прохождение всего входящего и исходящего трафика и работает в режиме stateful. Чтобы ограничить трафик с помощью группы по умолчанию, вы можете управлять правилами в ней — удалять правила и добавлять новые.

Не удаляйте правила в группе безопасности по умолчанию, если в проекте и пуле этой группы работает кластер Managed Kubernetes. Любые изменения в группе по умолчанию могут привести к сбоям в работе кластера.

Группу по умолчанию нельзя удалить.

Правила

Правила работают по разрешающему принципу: если трафик соответствует хотя бы одному правилу в группе, он будет пропущен. Порядок правил не имеет значения.

Правило разрешает трафик на основе параметров запроса:

  • направление — входящий или исходящий;
  • протокол — TCP, UDP, ICMP, AH, DCCP, EGP, ESP, GRE, IGMP, IPv6-ENCAP, IPv6-Frag, IPv6-ICMP, IPv6-NoNxt, IPv6-Opts, IPv6-Route, OSPF, PGM, RSVP, SCTP, UDP Lite, VRRP, IP-in-IP или любой протокол;
  • порт (для входящего и исходящего трафика) — порт или диапазон портов, с которыми может устанавливаться соединение. Указываются порты на устройстве, на которое назначена группа с правилом;
  • источник трафика (для входящего трафика) — IP-адрес, подсеть или другая группа безопасности;
  • назначение трафика (для исходящего трафика) — IP-адрес, подсеть или другая группа безопасности.

При создании группы безопасности в ней по умолчанию создаются два правила, которые разрешают весь исходящий трафик. Эти правила нужны, чтобы при создании сервер мог запросить необходимые данные для своей настройки. Вы можете удалить эти правила и добавить новые.

Ограничения

В одном проекте можно создать:

Количество групп безопасности и правил на одном порте ограничено лимитом проекта — не более 20 групп, не более 200 правил.

В Selectel по умолчанию заблокированы некоторые TCP/UDP-порты. Если входящий или исходящий трафик через порт заблокирован по умолчанию, то он не будет проходить даже при наличии разрешающего правила.

Стоимость

Группы безопасности предоставляются бесплатно.