В этой статье описаные правила групп безопасности, необходимые для основных сценариев использования виртуальных машин:
Проверить доступ к виртуальной машине из интернета можно командой ping <public_ip>, где <public_ip> — публичный IP-адрес.
На виртуальной машине при этом должен быть разрешен входящий трафик по протоколу ICMP.
Протокол | Порт | Тип источника | Источник | Описание |
|---|---|---|---|---|
ICMP | Любой | IP-адрес | 0.0.0.0/0 | ping |
Значение 0.0.0.0/0 в поле Источник разрешает выполнять ping виртуальных машин группы безопасности с любого IPv4-адреса. В целях безопасности рекомендуется указывать в качестве источника IP-адрес вашего компьютера или локальной сети.
Для доступа в интернет в группе безопасности виртуальной машины должен быть разрешен весь исходящий трафик.
Трафик | Протокол | Порт | Тип адресата | Адресат |
|---|---|---|---|---|
Исходящий | Любой | Любой | IP-адрес | 0.0.0.0/0 |
Для подключения к веб-серверу из интернета в его группе безопасности должны быть правила для входящего трафика с разрешением на доступ по протоколам HTTP и HTTPS. По умолчанию для HTTP используется порт 80, для HTTPS — порт 443. Рекомендуется использовать правила, разрешающие входящий трафик через порт 443, или настроить на своем веб-сервере перенаправление с порта 80 на порт 443.
Трафик | Протокол | Порт | Тип источника | Источник |
|---|---|---|---|---|
Входящий | TCP | 80 | IP-адрес | 0.0.0.0/0 |
Входящий | TCP | 443 | IP-адрес | 0.0.0.0/0 |
Для удаленного подключения в группе безопасности виртуальной машины должно быть правило для входящего трафика с разрешением на SSH- и RDP-подключения.
SSH-подключение использует порт 22.
Трафик | Протокол | Порт | Тип источника | Источник |
|---|---|---|---|---|
Входящий | TCP | 22 | IP-адрес | IP-адрес с маской /32 компьютера, с которого планируется подключаться |
RDP-подключение использует порт 3389.
Трафик | Протокол | Порт | Тип источника | Источник |
|---|---|---|---|---|
Входящий | TCP | 3389 | IP-адрес | IP-адрес с маской /32 компьютера, с которого планируется подключаться |
Избегайте возможности подключения к виртуальной машине по SSH или RDP с любого IP-адреса — 0.0.0.0/0. Это правило создает значительные риски безопасности: злоумышленники могут подключиться к вашей виртуальной машине через скомпрометированные учетные данные или через атаки методом перебора.
Настройка сетевой связности между сущностями внутри одной группы безопасности позволяет им взаимодействовать внутри облака без доступа в интернет. Например, это позволяет объединить виртуальные машины в один кластер.
Для этого в группе безопасности виртуальных машин должны быть разрешены входящий и исходящий трафики с текущей группой безопасности в качестве источника и адресата.
Трафик | Протокол | Порт | Тип источника | Источник |
|---|---|---|---|---|
Входящий | Любой | Любой | Группа безопасности | Текущая группа безопасности |
Исходящий | Любой | Любой | Группа безопасности | Текущая группа безопасности |
Настройка сетевой связности между сущностями с разными группами безопасности позволяет создавать проекты со сложной архитектурой, при этом следуя правилам минимального разрешения. Например, позволяет создать изолированные среды внутри одного облака, проекты с микросервисной архитектурой, взаимодействие серверов в разных зонах доступности.
Для этого в группах безопасности виртуальных машин должны быть разрешены входящий и исходящий трафики с других групп безопасности в качестве источника и адресата.
Пример: нужно настроить взаимодействие между виртуальными машинами с группами безопасности sg-1 и sg-2. Для этого в группы безопасности должны быть добавлены следующие правила:
Трафик | Протокол | Порт | Тип источника | Источник |
|---|---|---|---|---|
В группе безопасности sg-1 | ||||
Входящий | Любой | Любой | Группа безопасности | sg-2 |
Исходящий | Любой | Любой | Группа безопасности | sg-2 |
В группе безопасности sg-2 | ||||
Входящий | Любой | Любой | Группа безопасности | sg-1 |
Исходящий | Любой | Любой | Группа безопасности | sg-1 |