Portal

Grupos de Segurança

Sobre grupos de segurança

Um grupo de segurança é um conjunto de regras de filtro IP aplicadas à rede de uma instância (você também pode considerar um grupo de segurança como um contêiner para regras de grupo de segurança). Um grupo de segurança atua como um template de firewall que controla o tráfego para uma ou mais instâncias. Depois de aplicado a uma instância (ou, estritamente falando, a uma porta de uma instância, que é uma conexão de uma instância à rede - visível pela instância como um adaptador de rede virtual), ele se torna um firewall ativo nessa porta.

Segurança de porta

O conceito de grupos de segurança está conectado ao que é chamado de segurança de porta. A segurança da porta é uma propriedade (ou recurso) de uma porta de rede que, uma vez ativada, inicia a filtragem de tráfego. A segurança da porta atua como regra "bloquear tudo". Depois disso, quando grupos de segurança são aplicados a uma porta, eles adicionam um conjunto de regras que permitem certos tipos de tráfego (habilitando certas portas para IPs remotos).

Observe que nem todo tipo de tráfego que é bloqueado pela segurança da porta pode ser permitido por grupos de segurança. Por exemplo, a segurança da porta bloqueia o tráfego com o endereço IP ou MAC de destino que não pertence a uma porta específica e isso não é algo que pode ser permitido por grupos de segurança. Portanto, nas portas de um roteador, como os roteadores precisam receber e encaminhar tráfego para IPs de destino remoto, você teria a segurança da porta desativada.

Gerenciando grupos de segurança

Grupo de segurança é essencialmente um conjunto de regras de liberação de certos tipos de tráfego, como uma whitelist. Não há regras de bloqueio; a segurança de porta atua bloqueando todo tipo de tráfego globalmente, antes que qualquer lista de permissões possa ser aplicada.

Portanto, não há necessidade de gerenciar a ordem em que as regras são aplicadas - dado que apenas a lista de permissões é suportada, qualquer tráfego que não corresponda a nenhuma regra será bloqueado automaticamente.

Observe que você também pode aplicar vários grupos de segurança a uma instância (e todas as portas dessa instância). Nesse caso, todas as regras de todos os grupos de segurança são combinadas - por exemplo, se um grupo de segurança possui uma regra que permita a porta TCP 22 de entrada e o outro não possui essa regra, e os dois grupos de segurança são aplicados ao instância - a instância terá o tráfego da porta TCP 22 de entrada permitido.

Ao gerenciar regras nos grupos de segurança, você pode usar os seguintes parâmetros para filtrar tráfego:

  • Protocolo (TCP e UDP são exemplos de protocolos funcionando sobre IP).
  • Direção do tráfego - Entrada (entrada) / saída (saída).
  • Versão IP - IPv4 ou IPv6.
  • Intervalos de porta (para especificar uma porta única, como 22, use o intervalo 22 a 22).
  • IP remoto ou CIDR (para tráfego de entrada, remoto é o IP de origem; e para tráfedo de saída, remoto é o IP de destino). Além disso, o mesmo ou outro grupo de segurança pode ser especificado como um grupo de segurança remoto - o que significa que a regra será aplicada ao IP de qualquer porta que tenha esse grupo de segurança atribuído.

O recurso grupo de segurança remoto necessita de detalhamento.Esse recurso permite criar regras que correspondam a determinados IPs, sem saber antecipadamente quais serão esses IPs. Um exemplo de como esse recurso é usado pode ser visto no grupo de segurança default criado para qualquer novo projeto. Esse grupo de segurança possui uma regra "permitir tráfego de entrada de qualquer protocolo, de qualquer porta que participe do mesmo grupo de segurança". Como resultado, você pode criar um conjunto de instâncias "amigáveis", que podem se comunicar em qualquer protocolo e porta sem restrição, simplesmente atribuindo o mesmo grupo de segurança a elas. Ao mesmo tempo, essa regra não deixa as instâncias desprotegidas do restante das instâncias ou da Internet.

Há também um grupo de segurança criado por padrão - e é chamado default. Este grupo permite:

  • Tráfego de saída para IPv4 e IPv6, para qualquer protocolo em todas as portas.
  • Tráfego de entrada para IPv6, para qualquer protocolo em todas as portas.
  • Tráfego de entrada para IPv4, protocolo protocolo ICMP em todas as portas (o protocolo ICMP é usado pelo comando ping).
  • Tráfego de entrada para IPv4, para qualquer protocolo em todas as portas, com o grupo de segurança remota especificado como grupo atual.
  • Tráfego de entrada para IPv6, para qualquer protocolo em todas as portas, com o grupo de segurança remota especificado como grupo atual. Basicamente, essas duas regras (a atual e a acima) permitem que as instâncias que usam esse grupo de segurança se comuniquem diretamente entre si, sem restrições. Ao mesmo tempo, essas regras não se aplicam a outras instâncias ou IPs.
  • Tráfego de entrada para IPv4, protocolo TCP na porta 22 (esta é uma porta usada pelo SSH).
  • Tráfego de ingresso para IPv4, protocolo TCP em porta 3389 (a porta usada pelo protocolo de área de trabalho remota do Windows).

Operações do portal para grupos de segurança

Criando um novo grupo de segurança

Para criar um novo grupo de segurança, vá para Rede -> Grupos de segurança na navegação do portal (lado esquerdo do navegador). Depois clique no botão "Criar grupo de segurança". Forneça um nome significativo (melhor se descrever a finalidade do grupo, como "Servidores da Web") e descrição, se desejar; depois clique em "Criar".

Um grupo de segurança recém-criado terá duas regras adicionadas por padrão - permitindo tráfego de saída (saída) para qualquer porta e protocolo, para IPv4 e IPv6. Nenhum tráfego de entrada será permitido por padrão. Se necessário, essas regras podem ser removidas.

Modificando um grupo de segurança

Para modificar as regras do grupo de segurança, clique no botão do menu de contexto na parte superior do grupo e escolha "Modificar". Uma lista de regras será exibida, permitindo excluir regras existentes ou adicionar novas. Observe que você não pode modificar uma regra existente - é necessário remover a antiga e adicionar uma nova.

Ao adicionar uma regra ao grupo de segurança, você pode usar templates de regras na parte superior da tela - esses modelos são criados para preencher previamente uma nova regra com campos necessários para tarefas e protocolos específicos (por exemplo, para permitir tráfego HTTP ou HTTPS, que normalmente são configurados para escutar nas portas TCP 80 e 443, respectivamente.

Observe que, quando você modifica um grupo de segurança existente, essas alterações se aplicam a todas as instâncias que usam esse grupo (observe, porém, que levará alguns segundos, às vezes até 30). Não será necessário reaplicar o grupo à instância para efetivar essas alterações. Além disso, é fácil ver a lista de instâncias às quais um grupo específico é aplicado - use a guia "Instâncias" na parte superior da mesma tela usada para modificar um grupo de segurança.

Aplicando grupo de segurança a uma instância

Para gerenciar a lista dos grupos de segurança aplicados a uma instância, vá para a página de gerenciamento da instância (vá para Instânciasno menu de navegação do lado esquerdo), selecione a instância apropriada, clique no botão do menu de contexto (é localizado na coluna "Ações" quando a visualização em grade é usada) e selecione \ "Gerenciar". Em seguida, na página "Detalhes" da instância, role para baixo até ver a seção "Grupos de segurança".

Você pode remover um grupo de segurança da instância clicando no item "Remover" no menu de contexto desse grupo de segurança. Para adicionar um grupo de segurança, clique no botão "Gerenciar" na parte superior da seção "Grupos de segurança" e selecione os grupos de segurança que deseja adicionar.

Observe que enquanto segurança de porta estiver ativada, quando todos os grupos de segurança forem removidos, qualquer tráfego (entrada / saída) será totalmente bloqueado (lembre-se, as regras nos grupos de segurança são regras da lista de permissões - portanto, se nada estiver na lista de permissões, tudo é bloqueado)