Перейти к основному содержимому
Группы безопасности
Последнее изменение:

Группы безопасности

осторожно

Мы не рекомендуем настраивать группы безопасности в существующих сетях, где работает балансировщик нагрузки или кластер баз данных, это может привести к сбоям в работе балансировщика и нарушению репликации облачных баз данных. Чтобы избежать сбоев и не потерять данные, создайте новую приватную сеть или публичную подсеть.

Группа безопасности — набор правил для фильтрации трафика, который применяется на порты облачных серверов в рамках одного пула.

В отличие от облачного файрвола позволяет фильтровать весь трафик, проходящий через порт, в том числе трафик между устройствами в одной сети и подсети.

Работать с группами безопасности можно с помощью OpenStack CLI или Terraform. В панели управления можно посмотреть созданные группы безопасности и правила в них, а также порты, на которые назначены группы.

Принцип работы

Группа безопасности назначается на один или все порты облачного сервера и фильтрует входящий и исходящий трафик порта по заданным правилам. Если в группе нет правил, весь трафик отбрасывается.

Для работы групп безопасности должна быть включена функция фильтрации трафика port security.

В группах безопасности используются объекты модели OpenStack:

  • Security Group — группа безопасности. Служит контейнером для правил, которые разрешают прохождение трафика;
  • Rule — правило в группе безопасности. Разрешает прохождение трафика с определенными параметрами.

Группы безопасности могут работать в одном из режимов:

  • stateful (по умолчанию) — с учетом состояния сессий. Если трафик прошел через порт и сессия установилась, ответный трафик в рамках этой сессии пройдет даже без правила. Таймаут сессии — 300 секунд;
  • stateless — состояние сессии не учитывается.

Вы можете указать режим при создании группы или при изменении группы.

На одном порте может работать несколько групп безопасности. Их правила применяются одновременно: если трафик соответствует хотя бы одному правилу, он будет пропущен.

Группа безопасности по умолчанию

В одном проекте для каждого пула создается группа безопасности по умолчанию. Группа безопасности по умолчанию назначается на порт при его создании, но вы можете назначить группу безопасности в явном виде при создании порта или сервера. Группы безопасности по умолчанию не назначаются автоматически в сетях, где выключена функция фильтрации трафика port security.

Группа безопасности по умолчанию разрешает прохождение всего входящего и исходящего трафика и работает в режиме stateful. Чтобы ограничить трафик с помощью группы по умолчанию, вы можете управлять правилами в ней — удалять правила и добавлять новые.

Группу по умолчанию нельзя удалить.

Правила

Правила работают по разрешающему принципу: если трафик соответствует хотя бы одному правилу в группе, он будет пропущен. Порядок правил не имеет значения.

Правило разрешает трафик на основе параметров запроса:

  • направление — входящий или исходящий;
  • протокол — TCP, UDP, ICMP, AH, DCCP, EGP, ESP, GRE, IGMP, IPv6-ENCAP, IPv6-Frag, IPv6-ICMP, IPv6-NoNxt, IPv6-Opts, IPv6-Route, OSPF, PGM, RSVP, SCTP, UDP Lite, VRRP, IP-in-IP или любой протокол;
  • порт (для входящего и исходящего трафика) — порт или диапазон портов, с которыми может устанавливаться соединение. Указываются порты на устройстве, на которое назначена группа с правилом;
  • источник трафика (для входящего трафика) — IP-адрес, подсеть или другая группа безопасности;
  • назначение трафика (для исходящего трафика) — IP-адрес, подсеть или другая группа безопасности.

При создании новой группы безопасности в ней по умолчанию создаются два правила, которые разрешают весь исходящий трафик. Вы можете удалить эти правила и добавить новые.

Фильтрация трафика port security

Port security — функция фильтрации трафика для защиты от несанкционированного доступа и атак, которая необходима для работы групп безопасности. Полностью запрещает прохождение трафика, если на порт не назначена группа безопасности с разрешающими правилами.

Функция port security по умолчанию выключена во всех сетях Selectel. Чтобы назначить группу безопасности на порт, нужно включить port security.

Мы рекомендуем для работы с группами безопасности создать новую сеть и включить port security на уровне сети — в этом случае на все новые порты в сети будет назначаться группа безопасности по умолчанию. Вы также сможете назначить группу безопасности в явном виде при создании порта или сервера.

Port security позволяет использовать для порта только одну закрепленную пару IP-адрес — MAC-адрес, поэтому будут блокироваться MAC/IP spoofing, работа VPN, VRRP и оверлейных сетей. Если вы используете решения на их основе, на портах с группой безопасности нужно дополнительно настроить разрешенные адреса, которые могут использоваться для отправки трафика через порт.

Ограничения

В одном проекте можно создать:

Количество групп безопасности и правил на одном порте ограничено лимитом проекта — не более 20 групп, не более 200 правил.

В Selectel по умолчанию заблокированы некоторые TCP/UDP-порты. Если входящий или исходящий трафик через порт заблокирован по умолчанию, то он не будет проходить даже при наличии разрешающего правила.

Стоимость

Группы безопасности предоставляются бесплатно.