Группы безопасности ограничивают трафик внутри Cloud.ru, а также входящий и исходящий внешний трафик. Они назначаются на сетевые интерфейсы (NIC) ресурсов и блокируют весь трафик, который не указан в правилах.
Группы безопасности работают по принципу «все, что не разрешено, запрещено».
Каждому сетевому интерфейсу должна быть назначена хотя бы одна группа безопасности. Если к интерфейсу не привязана ни одна группа безопасности или в группах нет правил, весь входящий и исходящий трафик блокируется. При назначении нескольких групп правила этих групп суммируются.
Если у ресурса несколько сетевых интерфейсов, им могут быть назначены разные группы безопасности. Поэтому при подключении к разным подсетям могут действовать разные правила фильтрации трафика.
Вы можете назначить группу безопасности виртуальным машинам и серверам Bare Metal.
Инстансам других сервисов Cloud.ru группы безопасности назначаются автоматически и недоступны для изменения в личном кабинете.
Любую группу безопасности можно привязать только к интерфейсам в той же зоне доступности.
Каждая группа содержит набор разрешающих правил для входящего (ingress) и исходящего (egress) трафика. Весь трафик, не указанный в правилах, блокируется.
Каждое правило группы безопасности определяет параметры трафика, который будет пропускаться:
Параметр | Описание |
|---|---|
Направление | Правило может разрешать либо входящий, либо исходящий трафик. |
Протокол | |
Порт | Может быть указан один порт, несколько портов или диапазон портов. Например:
|
Источник | Указывается только для входящего трафика. Может быть указан IP-адрес (CIDR) или группа безопасности. Если указана группа безопасности, трафик будет разрешаться с тех ресурсов, которым назначена указанная группа безопасности. |
Назначение | Указывается только для исходящего трафика. Может быть указан IP-адрес (CIDR) или группа безопасности. Если указана группа безопасности, трафик будет разрешаться на те ресурсы, которым назначена указанная группа безопасности. |
При создании организации в каждой зоне доступности автоматически создается группа безопасности по умолчанию с названием SSH-access_<az>, где <az> — краткое название зоны доступности. Например, SSH-access_ru.AZ-1.
При создании виртуальной машины в личном кабинете ее интерфейс будет привязан к группе безопасности по умолчанию для своей зоны, если вы не укажете другую группу безопасности.
Изначально группа SSH-access_<az> содержит правила, которые разрешают следующий трафик:
входящий трафик на порт 22 для подключения к машине по SSH;
весь входящих трафик от этой же группы безопасности для обеспечения сетевой связности между сущностями внутри одной зоны доступности;
весь исходящий трафик для обепечения доступа в интернет из виртуальной машины.
Трафик | Протокол | Порт | Тип источника/адресата | Источник/Адресат |
|---|---|---|---|---|
Входящий | Любой | Любой | Группа безопасности | SSH-access_<az> |
Входящий | TCP | 22:22 | IP-адрес | 0.0.0.0/0 |
Исходящий | Любой | Любой | IP-адрес | 0.0.0.0/0 |
Вы можете изменить название и правила группы безопасности по умолчанию, но ее удаление недоступно.
Всегда проверяйте правила безопасности группы перед использованием, так как их могли изменить.
Для production-нагрузок не рекомендуется использовать группы по умолчанию. Создавайте и назначайте специализированные группы.
Настройки группы безопасности могут изменить другие пользователи организации. Всегда проверяйте актуальные правила перед использованием.
Следуйте принципу наименьших привилегий: создавайте собственные группы безопасности, которые разрешают только строго необходимый трафик.
Избегайте возможности подключения к виртуальной машине по SSH с любого IP-адреса: входящий трафик на порт 22 с источника 0.0.0.0/0. Это правило создает значительные риски безопасности — злоумышленники могут подключиться к вашей виртуальной машине через скомпрометированные учетные данные или через атаки методом перебора. Замените источник на конкретные доверенные IP-адреса или отключите доступ по SSH после настройки виртуальной машины.