Sicherheitsgruppen¶
- Über Sicherheitsgruppen
- Verwaltungsfunktionen von Sicherheitsgruppen
- Konfigurieren von Sicherheitsgruppen
- Zuweisung von Sicherheitsgruppen zu einer Instanz
- Zuweisung von Sicherheitsgruppen zu einem Port
In diesem Abschnitt geht es um die Verwendung von ‘Sicherheitsgruppen’ als Werkzeuge für die Verwaltung und Organisation der Netzwerksicherheit und die Bereitstellung des Zugangs zu Projektinstanzen. Wir werden uns mit Folgendem befassen:
- Definition des Konzepts der ‘Sicherheitsgruppe’;
- Verwaltung und Konfiguration der Regeln von Sicherheitsgruppen;
- Zuweisung der erforderlichen Sicherheitsgruppen beim Start von Instanzen;
- Organisation des Netzwerkzugangs zu einer Instanz oder Konfiguration der Vernetzung zwischen Instanzen des Projekts.
Über Sicherheitsgruppen
Sicherheitsgruppen - sind ein Satz von Regeln für die IP-Filterung, die auf eine Instanz angewendet werden, genauer gesagt, den Netzwerkschnittstellen der Instanz zugewiesen werden. Jede Sicherheitsgruppe ist einzigartig und führt ihre Funktionen nur innerhalb des Projekts aus, in dem sie erstellt wurde. Die Funktionalität von Sicherheitsgruppen ermöglicht es, den Netzwerkverkehr mit IPv4- und IPv6-Protokollen zuzulassen oder einzuschränken.
Verwaltungsfunktionen von Sicherheitsgruppen
Die folgenden Verwaltungsfunktionen von Sicherheitsgruppen stehen den Projektnutzern zur Verfügung:
- Durch Ändern der Gruppe ermöglichen die Verwaltungsinterfaces das Hinzufügen neuer Regeln oder das Entfernen bestehender Regeln;
- Sicherheitsgruppen unterstützen die Möglichkeit, zulässige Regeln mit einer ‘Vererbungsfunktion’ zu erstellen, die den Zugriff auf die IP-Adressen von Instanzen ermöglicht, denen eine bestimmte Sicherheitsgruppe zugewiesen wurde;
- Erstellen neuer Gruppen;
- Bearbeiten von Benutzergruppen, d.h. Ändern des Namens und der Beschreibung einer Sicherheitsgruppe, mit der Ausnahme, dass die ‘Standard’-Gruppe keine Bearbeitung zulässt;
- Zuweisung einer oder mehrerer Sicherheitsgruppen zu einer Instanz;
Bemerkung
Bei der Verwendung einer Kombination aus mehreren Sicherheitsgruppen ist es wichtig, folgendes zu verstehen: Die Gruppen, die in einer einzelnen Instanz oder einem Instanz-Port zusammengeführt werden, müssen den folgenden Normen entsprechen:
- Die Regeln, die in jeder Sicherheitsgruppe gepflegt werden, dürfen nicht miteinander in Konflikt stehen;
- Wenn sich gegenseitig ausschließende Regeln in den Gruppen vorhanden sind, können sie in dieser Kombination nicht verwendet werden. In diesem Fall empfehlen wir, eine der Gruppen um zusätzliche Regeln zu erweitern, von denen es nicht genügend für den erforderlichen Zugang gab.
- Die Regeln der einzelnen Gruppen müssen sich gegenseitig ergänzen; nur so kann das erforderliche Maß an Sicherheit, Zuverlässigkeit und stabilem Betrieb der Netzinfrastruktur erreicht werden.
- Deaktivierung aller oder bestimmter Gruppen für eine bestimmte Instanz;
- Zuweisung einer Sicherheitsgruppe zu einem bestimmten Port der Instanz;
- Deaktivierung einer Sicherheitsgruppe für den Port (die Netzwerkschnittstelle) einer Instanz.
- Entfernen von Sicherheitsgruppen (alle außer der Standardgruppe);
Warnung
Der Versuch, die Standardgruppe zu löschen, führt zu einer Fehlermeldung:‘Deletion of the default security group is forbidden’ bzw. ‘Die Löschung der Standard-Sicherheitsgruppe ist verboten’.
Konfigurieren von Sicherheitsgruppen
Die Regeln bestimmen, welcher Datenverkehr für die Instanzen, denen die Sicherheitsgruppe zugewiesen ist, zulässig ist. Eine Sicherheitsgruppenregel besteht aus drei grundlegenden Komponenten:
Regel: die Einstellungen erlauben es dem Benutzer, die gewünschte Regelvorlage festzulegen oder konfigurierbare Regeln mit Hilfe der Optionen ‘Configurable TCP rule’/‘Konfigurierbare TCP-Regel’, ‘Configurable UDP rule’/‘‘Konfigurierbare UDP-Regel’ oder ‘Configurable ICMP rule’/‘Konfigurierbare ICMP-Regel’ einzustellen.
Port/Port Range aktiviert: Bei TCP- und UDP-Regeln ist es möglich, einen bestimmten Port oder einen Bereich von Ports zu aktivieren. Wenn Sie die Option „Portbereich“ wählen, wird ein Dialogfeld angezeigt, in dem Sie den ersten und letzten Port des Bereichs eingeben können. Bei ICMP-Regeln müssen Sie im angezeigten Dialogfeld den ICMP-Typ und den ICMP-Code angeben.
Remote Side: Hier müssen Sie die Quelle des Datenverkehrs angeben, der durch diese Regel zugelassen werden soll. Sie können einen Block von IP-Adressen (CIDR) oder eine Sicherheitsgruppe angeben. Wenn Sie eine Sicherheitsgruppe auswählen, wird der Zugriff auf alle Rechner der angegebenen Gruppe auf allen Rechnern erlaubt, auf die diese Regel angewendet wird. Die Funktion „Vererbung“ („inheritance“) vereinfacht die Erstellung zulässiger Regeln, wenn es eine große Anzahl von Projektadressen gibt, für die der Zugriff aktiviert werden muss. Es empfiehlt sich, für jede Gruppe von Instanzen mit der gleichen Funktionalität separate Sicherheitsgruppen zu erstellen; dies kann beispielsweise ein Cluster von Webservern, Datenbankservern, Mailservern usw. sein, für die die Sicherheitsgruppen selbst Namen mit definierter Bedeutung erhalten sollten. So lässt sich ihr Zweck schneller und klarer erkennen.
Mit Hilfe der Gruppenvererbung ist es möglich, den Zugang zwischen einer Instanz und einer Gruppe von Instanzen über das erforderliche Protokoll oder den erforderlichen Port zu öffnen, ohne dass jeder Gruppenhost (dem diese Sicherheitsgruppe zugewiesen wurde) oder jede externe Instanz (die dieselbe Gruppe verwendet) aufgelistet werden muss. Es reicht aus, die Sicherheitsgruppe des Dienstes im Feld „Remote Adress“ anzugeben, da ein und dieselbe Sicherheitsgruppe der gesamten Gruppe von Instanzen zugewiesen wird. Mit anderen Worten: Die Regel mit Sicherheitsgruppenvererbung verwendet IP-Adressen von Projektinstanzen, denen diese Gruppe zugewiesen wurde.
Beim Hinzufügen oder Entfernen von Instanzen aus der bedingten Dienstgruppe des Projekts werden die Regeln automatisch übernommen. Hier sind keine zusätzlichen Einstellungen erforderlich, was die Konfiguration der Netzwerkinfrastruktur in der Cloud einfacher und effizienter macht.
Bemerkung
Die Anzahl der Regeln in einer Sicherheitsgruppe wird durch die secgroup-rules-Quote bestimmt, während die Anzahl der für ein Projekt zugänglichen Sicherheitsgruppen durch die secgroups-Quote gesteuert wird. Die Standardkontingente werden im Abschnitt Einschränkungen beschrieben.
Zuweisung von Sicherheitsgruppen zu einer Instanz
Alle Projekte haben eine „Standard „-Sicherheitsgruppe. Sie wird auf alle Instanzen angewendet, für die keine andere Sicherheitsgruppe definiert ist. Solange sie nicht geändert wird, lehnt diese Sicherheitsgruppe jeglichen eingehenden Traffic ab.
Bemerkung
Um die Sicherheit des Projekts zu organisieren, wird beim Anlegen jedes neuen Ports (Netzwerkschnittstelle) einer Instanz die Standard-Sicherheitsgruppe zugewiesen. Wenn einer Instanz mehrere Sicherheitsgruppen zugewiesen sind, aber die erforderlichen zulässigen Regeln nicht in der Standard-Gruppe beschrieben sind, sondern in einer anderen alternativen Gruppe enthalten sind, muss die letztere Gruppe für diese Instanz neu zugewiesen werden. Alternativ muss die erforderliche Sicherheitsgruppe einem neuen Port zugewiesen werden.
Dies beantwortet die Frage, warum viele Benutzer nach der Erstellung einer Instanz auf das Problem des fehlenden Zugriffs auf diese Instanz stoßen. Es hilft auch zu verstehen, warum Instanzen innerhalb desselben Projekts ohne zusätzliche Sicherheitsgruppeneinstellungen nicht untereinander zugänglich sind.
Nachstehend finden Sie eine tabellarische Darstellung der Standard-Sicherheitsgruppe:
Direction | Network type | IP protoco | Port range | Remote IP prefix | Remote security group |
Incoming traffic | IPv6 | Any | Any | default | |
Incoming traffic | IPv4 | Any | Any | default | |
Outgoing traffic | IPv6 | Any | Any | ::/0 | |
Outgoing traffic | IPv4 | Any | Any | 0.0.0.0/0 |
Um den Zugang zu einer Instanz zu ermöglichen, muss die bereits vorhandene Standard-Sicherheitsgruppe bearbeitet und die erforderliche zulässige Regel für eingehenden Datenverkehr mit definierten Attributen hinzugefügt werden. Alternativ kann eine neue Sicherheitsgruppe mit den erforderlichen Regeln für die Verwaltung des ausgehenden und eingehenden Datenverkehrs erstellt werden. Beachten Sie, dass selbst wenn zwei verschiedene Instanzen über Ports verfügen, die mit demselben Netzwerk verbunden sind, der Netzwerkzugang zwischen ihnen nur funktioniert, wenn die entsprechenden zulässigen Regeln auf beiden Ports vorhanden sind.
Zuweisung von Sicherheitsgruppen zu einem Port
Die OpenStack-Plattform, auf der der SIM-Cloud-Dienst angeboten wird, ermöglicht die Zuweisung von Sicherheitsgruppen zu verschiedenen Ports derselben Instanz. Dieser Vorgang kann entweder über ein Cloud-Webinterface oder über andere Verwaltungsschnittstellen durchgeführt werden: OpenStackClient oder API. Diese Möglichkeit, verschiedenen Ports unterschiedliche Regeln zuzuweisen, ermöglicht eine flexiblere Verwaltung des ausgehenden und eingehenden Netzwerkverkehrs bei gleichbleibendem Sicherheitsniveau und einfacher Kontrolle des Projekts.
Beachten Sie, dass der wichtigste Ansatz für die Verwaltung von Sicherheitsgruppen darin besteht, die erforderliche Gruppe speziell dem Port der Instanz zuzuweisen. Sie sollten jedoch bedenken, dass Sie durch diese Zuweisung die Regeln auf alle Ports der virtuellen Maschine anwenden. Dies ist nicht immer sinnvoll, wenn es eine große Anzahl von Netzwerkschnittstellen gibt.
Ausführlichere Informationen über die Verwendung, Änderung und Zuweisung von Sicherheitsgruppen finden Sie in diesem Artikel.