Группы безопасности

Группа безопасности (Security Group) — набор правил для управления доступом к облачным ресурсам. Эти правила позволяют контролировать входящий и исходящий трафик, разрешать и запрещать доступ на основе IP-адресов, протоколов и портов.

Правила распространяются на все ресурсы в группе безопасности. Ресурсы в пределах одной сети VPC и в одной и той же группе безопасности могут взаимодействовать друг с другом без дополнительных правил.

Группы безопасности применяются к сервисам ECS, RDS, DDS, DDM, MRS, CCE, CSS, DCS, DMS, WAF и SFS.

При создании инстанса, например ECS, ему можно присвоить группу безопасности по умолчанию.

Группы безопасности — средство защиты на уровне инстансов. Защиту на уровне подсетей обеспечивает Network ACL.

Группы безопасности отслеживают состояние соединений. Если трафик разрешен в одну сторону, то разрешен и ответный трафик независимо от правил группы безопасности.

При добавлении, изменении или удалении правил группы безопасности, а также при изменении списка инстансов группы безопасности, информация о текущих соединениях автоматически сбрасывается для всех инстансов, принадлежащих группе. Чтобы обеспечить немедленное вступление изменений в силу, все последующие соединения будут рассматриваться как новые и должны соответствовать актуальным правилам группы безопасности.

При длительном отсутствии входящего или исходящего трафика в рамках активного соединения возобновление трафика будет считаться новым соединением. Время ожидания таких соединений зависит от протокола. Например, для TCP-соединения оно составляет 600 секунд, а для ICMP-соединения — 30 секунд.

Для других протоколов, если пакеты идут во входящем и исходящем направлениях, время ожидания составляет 180 секунд. Если пакеты принимаются только в одном направлении, время ожидания — 30 секунд. Для протоколов, отличных от TCP, UDP и ICMP, отслеживаются только IP-адрес и номер протокола.

В этом разделе: