Группы безопасности

Группа безопасности — это механизм управления доступом серверов к другим серверам и сети Интернет, реализованный в виде набора правил.

Правила позволяют серверу устанавливать сетевые соединения, различающиеся по направлению (входящее/исходящее), IP-адресам, портам и протоколам.

Группа безопасности привязывается к сетевому интерфейсу сервера.

При подключении Cloud Compute автоматически создаётся группа безопасности default.

Создание группы безопасности

В одном проекте может быть максимум 20 групп безопасности

Чтобы создать группу безопасности: 

  1. В главном меню портала выберите Ресурсы → Cloud Engine → Группы безопасности.
  2. Нажмите на кнопку  Создать группу безопасности.
  3. Заполните поля:
    • Имя — название группы безопасности. Может содержать прописные и строчные буквы латинского алфавита, цифры, знаки препинания и символы;

    • Описание описание группы безопасности, заполняется при необходимости.
  4. Нажмите на кнопку Добавить.
  5. Создайте правила для группы безопасности.

Созданная группа безопасности отображается на портале:

Чтобы включить уже заказанный сервер в новую группу безопасности, см. раздел Сетевые интерфейсы.

Чтобы посмотреть подробную информацию о группе безопасности, нажмите на кнопку в строке с нужной группой безопасности. Откроется страница с информацией о ней:

  • в верхней части окна отображается Идентификатор для взаимодействия с группой безопасности через API;
  • на вкладке Правила отображаются правила для входящего и исходящего трафика;
  • на вкладке Сетевые интерфейсы отображаются сетевые интерфейсы, использующие данную группу безопасности. На вкладке можно исключить сетевые интерфейсы из группы безопасности.

Можно добавлять и удалять правила группы безопасности, исключать сетевые интерфейсы из неё, а также удалять группы безопасности.

Добавление правила в группу безопасности

Созданная группа безопасности не содержит правил. А значит, любой входящий и исходящий трафик запрещён. 

Если группа имеет правила только для входящего трафика, сервер может только отвечать на запросы, но не создавать их.

Если группа имеет правила только для исходящего трафика, сервер может создавать запросы и получать ответы на них, но не может принимать входящие запросы.

Важно

При создании правил группы безопасности соблюдайте принцип минимальных привилегий, который защитит серверы от нежелательных сетевых соединений и повысит уровень безопасности. Создавайте правила, разрешающие трафик только в рамках необходимых сетевых соединений.

В одном проекте можно создать максимум 200 правил. Они могут содержаться в одной группе безопасности или нескольких. 

Чтобы добавить правило в группу безопасности:

  1. В главном меню портала выберите Ресурсы → Cloud Engine Группы безопасности.
  2. В строке с группой безопасности, для которой нужно добавить правило, нажмите на кнопку .
  3. Нажмите на кнопку + Добавить и в открывшемся окне заполните параметры правила:

    Общая информация:

    • Направление — направление трафика серверов, входящих в группу безопасности:
      • Входящее — правило относится к трафику, принимаемому серверами;
      • Исходящее — правило относится к трафику, отправляемому серверами;
    • Описание — описание группы безопасности, заполняется при необходимости;
    • Протокол:
      • TCP — транспортный протокол, гарантирующий доставку данных. Его используют SSH, RDP, HTTPS;
      • UDP — транспортный протокол, не требующий установки соединения и не гарантирующий доставку данных. Его используют DNS, DHCP, SNMP;
      • ICMP протокол межсетевых управляющих сообщений. Главным образом, используется утилитой Ping;
      • Все выбор всех протоколов;
    • Тип подсети — протокол сетевого уровня:
      • IPv4 — Интернет-протокол версии 4, использующий адрес длиной 32 бита;
      • IPv6 — Интернет-протокол версии 6, использующий адрес длиной 128 бит.

    Открыть порт — порт транспортного уровня, к которому применяется правило. Используется для всех протоколов, кроме ICMP:

    • Все — правило применяется для всех портов; 
    • Порт — порт, по которому принимается и отправляется трафик; 
    • Диапазон портов — диапазон портов, по которому принимается и отправляется трафик.

      Примечание

      Если нужно создать правило для разных портов или диапазонов портов, создайте отдельные правила для каждого порта или диапазона.

    Назначениеадрес, на который распространяется правило:

    • CIDRадрес подсети в формате IPv4 или IPv6 (в зависимости от значения поля Тип подсети) с указанием размера подсети. Установите флажок Любой, чтобы правило применялось для любого IP-адреса;
    • Группа безопасностисуществующая группа безопасности. Правило применяется для серверов, которые используют выбранную группу безопасности.
  4. Нажмите на кнопку Добавить.

Созданное правило появится в списке правил группы безопасности:

Исключение сетевого интерфейса из группы безопасности

Исключение сетевого интерфейса из группы безопасности означает, что для сервера перестают работать правила группы безопасности. 

Чтобы исключить сетевой интерфейс из группы безопасности:

  1. Убедитесь, что к сетевому интерфейсу привязана хотя бы одна другая группа безопасности, кроме исключаемой. Если нет, то добавьте сетевой интерфейс сервера в группу безопасности.
  2. В главном меню портала выберите Ресурсы → Cloud Engine → Группы безопасности.
  3. В строке с группой безопасности, из которой нужно исключить сетевой интерфейс, нажмите на кнопку .
  4. На вкладке Сетевые интерфейсы выберите сетевые интерфейсы, которые нужно удалить из группы безопасности.
  5. Нажмите на кнопку Исключить из группы безопасности.

Удаление правила группы безопасности

Чтобы удалить правило группы безопасности:

  1. В главном меню портала выберите Ресурсы → Cloud Engine → Группы безопасности.
  2. В строке с группой безопасности, из которой нужно удалить правило, нажмите на кнопку .
  3. Нажмите на кнопку  в строке с правилом, которое нужно удалить.

Удаление группы безопасности

Невозможно удалить:

  • группу безопасности default;
  • группу безопасности, к которой привязан сетевой интерфейс;
  • группу безопасности, указанную в качестве Назначения хотя бы в одном правиле другой группы безопасности.

Чтобы удалить группу безопасности:

  1. Исключите сетевые интерфейсы из группы безопасности.
  2. В главном меню портала выберите Ресурсы → Cloud Engine Группы безопасности.
  3. Нажмите на кнопку в строке с группой безопасности, которую нужно удалить.