Группы безопасности#

Общая информация#

Группы безопасности описывают правила фильтрации трафика на сетевых интерфейсах экземпляров, подключённых к подсети, действуя как виртуальный межсетевой экран.

Группа безопасности по умолчанию#

Вместе с VPC создаётся группа безопасности default, которая присваивается сетевому интерфейсу при его создании.

Входящие правила для группы безопасности default#

Протокол

Источник

Порты

Описание

Все

Группа безопасности (sg-XXXXXXXX)

Все

Разрешает входящий трафик от интерфейсов, которым назначена группа безопасности default
Исходящие правила для группы безопасности default#

Протокол

Адресат

Порты

Описание

Все

0.0.0.0/0

Все

Разрешает весь исходящий IPv4-трафик

Вы можете изменить правила группы безопасности по умолчанию или назначить сетевому интерфейсу свой набор групп безопасности (до пяти групп безопасности на один сетевой интерфейс). В каждой группе безопасности можно задавать правила как для входящего, так и для исходящего трафика.

Контекстная фильтрация трафика#

Группы безопасности осуществляют контекстную (stateful) фильтрацию трафика: для каждого нового соединения (если оно разрешено) автоматически создаётся временное разрешающее правило для обратного трафика.

Примечание

Например, на экземпляре виртуальной машины в облаке на TCP-порту 80 работает веб-сервер. Соответствующему сетевому интерфейсу назначена группа безопасности web-sg, в которой есть входящее разрешающее правило tcp/80, 0.0.0.0/0. Список исходящих правил пуст. При открытии TCP-сессии между клиентом и веб-сервером будет создано временное исходящее разрешающее правило: proto: tcp, source port: 80, destination port: XXXX, destination IP: IP клиента, где XXXXэфемерный порт, который ОС клиента динамически выбирает для текущей TCP-сессии. Данное правило будет действовать, пока соединение не закрыто либо не истёк таймаут. Длительность таймаута зависит от протокола.

Операции с группами безопасности#

Создать группу безопасности#

Чтобы создать группу безопасности, перейдите в раздел Виртуальные машины Безопасность Группы безопасности и нажмите Создать. В открывшемся окне выберите VPC, в котором необходимо создать группу безопасности, введите имя группы и её описание.

Опционально вы можете также задать тег Name. Для добавления тегов с произвольными ключами нажмите Добавить теги.

После задания всех необходимых параметров подтвердите свой выбор.

Назначить группу безопасности интерфейсу#

Назначить группу безопасности какому-либо сетевому интерфейсу или убрать его из числа назначенных можно на вкладке Группы безопасности на странице этого интерфейса. Как изменить группы безопасности у сетевого интерфейса, подробно описано в одноимённом разделе в документации на сетевые интерфейсы. Список интерфейсов, которым была назначена конкретная группа безопасности, можно посмотреть на вкладке Сетевые интерфейсы на странице этой группы.

Назначить теги группе безопасности#

Для назначения тегов группе безопасности перейдите на её страницу и откройте вкладку Теги. Для добавления тега нажмите Добавить тег и задайте ключ и значение тега. Если никакие теги ещё не назначены, то вы можете сразу с помощью кнопки Добавить тег Name и задать его значение. Для задания дополнительных тегов нажмите Добавить тег. После задания всех тегов нажмите Применить.

При необходимости вы можете также отредактировать ключи и значения имеющихся тегов и удалить ненужные теги.

Изменить описание группы#

Для изменения описания группы безопасности перейдите на её страницу и откройте вкладку Информация. Для изменения имени группы безопасности, её описания и значения тега Name отредактируйте соответствующие параметры.

Удалить группу безопасности#

Чтобы группу безопасности можно было удалить, должны быть выполнены следующие условия:

  • группа безопасности не назначена ни одному сетевому интерфейсу;

  • группа безопасности не является группой по умолчанию;

  • группа безопасности не является источником или адресатом в другой группе безопасности.

При выполнении всех условий для удаления группы безопасности выберите её из списка в подразделе Группы безопасности, либо перейдите на её страницу и откройте вкладку Информация, а затем нажмите Удалить.

Работа с правилами#

Добавить правило#

Новое правило будет автоматически применено ко всем интерфейсам, которым назначена эта группа безопасности.

Внимание

Действие правил, где источником/адресатом является группа безопасности, ограничено рамками одной зоны доступности. Если вы хотите разрешить трафик между сетевыми интерфейсами, которые расположены в разных зонах доступности, то в разрешающих правилах в качестве источника/адресата необходимо указывать IP-адреса.

Внимание

Количество исходящих/входящих правил для одной группы безопасности ограничено 50 в каждом направлении.

Примечание

Если группа безопасности назначена сетевому интерфейсу, у которого отключена проверка источника/адресата (параметр sourceDestCheck), такую группу безопасности нельзя использовать в качестве источника как в её собственных, так и входящих правилах других групп безопасности.

Чтобы добавить входящее или исходящее правило для конкретной группы безопасности:

  1. Перейдите в раздел Виртуальные машины Безопасность Группы безопасности.

  2. Найдите группу безопасности в таблице ресурсов и нажмите на её идентификатор для перехода на страницу группы.

  3. Откройте нужную вкладку — Входящие правила или Исходящие правила — и нажмите Добавить.

  4. В открывшемся окне задайте необходимые параметры:

    • Описание правила (опционально).

    • Протокол — Вы можете задать правило для всех протоколов, либо выбрать конкретный протокол из списка. Если нужного протокола в списке нет, то выберите Другой.

      • Номер протокола — При отсутствии протокола в списке задайте его номер согласно IANA.

      • Доступ к портам — Для протоколов TCP и UDP укажите, к каким портам возможен доступ — ко всем или к некоторым.

      • Порты — При выборе доступа только к некоторым портам укажите список портов и/или диапазонов портов через запятую.

        Примечание

        Для каждого порта или диапазона портов из списка будет создано отдельное правило.

    • Разрешить доступ — Вы можете разрешить доступ со всех IP-адресов, из конкретной сети или из группы безопасности.

      • Сеть — При выборе опции Из сети необходимо указать сеть в нотации CIDR.

      • Группа безопасности — При выборе опции Из группы безопасности необходимо выбрать группу безопасности из раскрывающегося стенда.

  5. После задания всех параметров нажмите Добавить для создания правила.

Изменить правило#

Вы можете изменить любые параметры правила за исключением типа источника, откуда разрешён доступ (сеть или группа безопасности). Для изменения входящего или исходящего правила в конкретной группе безопасности:

  1. Перейдите в раздел Виртуальные машины Безопасность Группы безопасности.

  2. Найдите группу безопасности в таблице ресурсов и нажмите на её идентификатор для перехода на страницу группы.

  3. Откройте нужную вкладку — Входящие правила или Исходящие правила, — выберите изменяемое правило в списке ресурсов и нажмите Изменить.

  4. В открывшемся окне вы можете отредактировать следующие параметры:

    • Описание правила.

    • Протокол — Вместо используемого протокола можно указать произвольный, либо выбрать все протоколы. Если нужного протокола в списке нет, то выберите Другой.

      • Номер протокола — При отсутствии протокола в списке задайте его номер согласно IANA.

      • Доступ к портам — Для протоколов TCP и UDP вы можете изменить, к каким портам возможен доступ — ко всем или к некоторым.

      • Порты — Если выбран доступ только к некоторым портам, вы можете задать другой порт или диапазон портов.

    • Сеть/Группа безопасности — Если доступ был разрешён из сети или со всех адресов, то вы можете указать другую сеть, в том числе предоставить доступ отовсюду (0.0.0.0/0). Если доступ был разрешён из группы безопасности, то вы можете выбрать другую группу безопасности.

  5. После редактирования параметров нажмите Изменить для сохранения правила.

Удалить правило#

Одновременно можно удалить несколько правил.

  1. Перейдите в раздел Виртуальные машины Безопасность Группы безопасности.

  2. Найдите группу безопасности в таблице ресурсов и нажмите на её идентификатор для перехода на страницу группы.

  3. Откройте нужную вкладку — Входящие правила или Исходящие правила, — выберите удаляемое правило или правила в списке ресурсов и нажмите Удалить.

  4. Для подтверждения операции нажмите Удалить.

Информация о группе безопасности#

Общую информацию об имеющихся группах безопасности можно посмотреть в подразделе Группы безопасности. Для просмотра всех групп безопасности в проекте выберите Все VPC в фильтре VPC. Для отображения групп безопасности из конкретного VPC выберите нужный VPC в фильтре.

Для просмотра детальной информации о конкретной группе безопасности перейдите в раздел Виртуальные машины Безопасность Группы безопасности и выберите нужную группу безопасности. Для упрощения поиска группы в таблице вы можете в фильтре VPC выбрать VPC, в котором создана группа, либо воспользоваться поиском по таблице.

Выбрав нужную группу, нажмите на её идентификатор. На странице группы представлена информация о группе, списки входящих и исходящих правил, данные о сетевых интерфейсах, которым назначена группа, и сведения о тегах.

На вкладке Информация отображаются имя группы безопасности и её описание, значение тега Name (если назначен), количество сетевых интерфейсов, которым назначена группа, и VPC, в котором она создана. Вы можете также изменить описание группы и удалить её.

На вкладке Входящие правила можно посмотреть список исходящих правил. Вы можете добавить или удалить правило, а также изменить его описание.

На вкладке Исходящие правила можно посмотреть список исходящих правил. Вы можете добавить или удалить правило, а также изменить его описание.

На вкладке Интерфейсы выводится информация о сетевых интерфейсах, которым назначена данная группа.

На вкладке Теги можно посмотреть теги, которые назначены группе безопасности. Вы можете добавить, изменить и удалить теги.