Общая информация о группах безопасности
Группа безопасности — набор правил для фильтрации трафика, который применяется на порты облачных серверов в рамках одного пула.
В отличие от облачного файрвола позволяет фильтровать весь трафик сервера. Облачный файрвол назначается на порт облачного роутера, поэтому не фильтрует трафик между устройствами в одной сети и подсети, а также трафик на адреса из публичных подсетей.
Группы безопасности не подходят для защиты от DDoS-атак, для этого используйте услуги защиты от DDoS.
Работать с группами безопасности можно в панели управления, с помощью OpenStack CLI или Terraform.
Принцип работы
Группа безопасности назначается на один или все порты обла чного сервера и фильтрует входящий и исходящий трафик порта по заданным правилам. Если в группе нет правил, весь трафик отбрасывается.
Для работы групп безопасности в сети должна быть включена фильтрация трафика (port security).
В группах безопасности используются объекты модели OpenStack:
- Security Group — группа безопасности. Служит контейнером для правил, которые разрешают прохождение трафика;
- Rule — правило в группе безопасности. Разрешает прохождение трафика с определенными параметрами.
Группа безопасности может работать в одном из режимов:
- stateful (по умолчанию) — с учетом состояния сессий. Если трафик прошел через порт и сессия установилась, ответный трафик в рамках этой сессии пройдет даже без правила. Таймаут сессии — 300 секунд;
- stateless — состояние сессии не учитывается.
Вы можете указать режим при создании группы и изменить режим после создания группы.
На одном порте может работать несколько групп безопасности. Их правила применяют ся одновременно: если трафик соответствует хотя бы одному правилу, он будет пропущен.
Группа безопасности по умолчанию
В одном проекте для каждого пула создается группа безопасности по умолчанию с именем default
. Если в сети включена фильтрация трафика (port security), группа безопасности по умолчанию назначается на все порты в этой сети при их создании. Для облачного сервера вы можете назначить другую группу безопасности при создании порта или сервера.
Группа безопасности по умолчанию разрешает прохождение всего входящего и исходящего трафика и работает в режиме stateful. Чтобы ограничить трафик с помощью группы по умолчанию, вы можете управлять правилами в ней — удалять правила и добавлять новые.
Не удаляйте правила в группе безопасности по умолчанию, если в проекте и пуле этой группы работает кластер Managed Kubernetes. Любые изменения в группе по умолчанию могут привести к сбоям в работе кластера.
Группу по умолчанию нельзя удалить.
Правила
Правила работают по разрешающему принципу: если трафик соответствует хотя бы одному правилу в группе, он будет пропущен. Порядок правил не имеет значения.
Правило разрешает трафик на основе параметров запроса:
- направление — входящий или исходящий;
- протокол — TCP, UDP, ICMP, AH, DCCP, EGP, ESP, GRE, IGMP, IPv6-ENCAP, IPv6-Frag, IPv6-ICMP, IPv6-NoNxt, IPv6-Opts, IPv6-Route, OSPF, PGM, RSVP, SCTP, UDP Lite, VRRP, IP-in-IP или любой протокол;
- порт (для входящего и исходящего трафика) — порт или диапазон портов, с которыми может устанавливаться соединение. Указываются порты на устройстве, на которое назначена группа с правилом;
- источник трафика (для входящего трафика) — IP-адрес, подсеть или другая группа безопасности;
- назначение трафика (для исходящего трафика) — IP-адрес, подсеть или другая группа безопасности.
При создании группы безопасности в ней по умолчанию создаются два правил а, которые разрешают весь исходящий трафик. Эти правила нужны, чтобы при создании сервер мог запросить необходимые данные для своей настройки. Вы можете удалить эти правила и добавить новые.
Ограничения
В одном проекте можно создать:
- не более 20 групп безопасности с учетом группы безопасности по умолчанию;
- не более 200 правил.
Количество групп безопасности и правил на одном порте ограничено лимитом проекта — не более 20 групп, не более 200 правил.
В Selectel по умолчанию заблокированы некоторые TCP/UDP-порты. Если входящий или исходящий трафик через порт заблокирован по умолчанию, то он не будет проходить даже при наличии разрешающего правила.
Стоимость
Группы безопасности предоставляются бесплатно.