Открыть сервис

Security Groups

Security Groups — это виртуальный брандмауэр на уровне экземпляра (инстанса) или сетевого интерфейса в облачных вычислительных платформах (например, Amazon Web Services, Microsoft Azure, OpenStack), предназначенный для управления входящим и исходящим сетевым трафиком на основе набора правил. Security Groups действуют как фильтр пакетов, разрешая или блокируя трафик по протоколу, порту и IP-адресу источника/назначения.

Принцип работы

Security Groups функционируют на уровне сетевого стека гипервизора или виртуального коммутатора. Каждое правило в группе определяет:

Правила оцениваются в порядке приоритета (если не указано иное, обычно все правила равнозначны, и применяется первое совпадение). По умолчанию все входящие соединения запрещены, все исходящие разрешены — это стандартная политика «всё запрещено, кроме явно разрешённого». При изменении правил они применяются мгновенно ко всем экземплярам, привязанным к данной группе.

Отличие от Network ACL

Security Groups часто сравнивают с сетевыми списками контроля доступа (Network ACL). Основные различия:

ХарактеристикаSecurity GroupsNetwork ACL
Уровень работыЭкземпляр (инстанс)Подсеть (subnet)
Состояние (stateful)Stateful — ответный трафик разрешён автоматическиStateless — требуется явное правило для ответного трафика
Порядок правилВсе правила оцениваются (нет приоритета)Правила оцениваются по номеру (от меньшего к большему)
Поддержка deny-правилНет — только allowЕсть — allow и deny

Stateful-природа Security Groups означает, что если разрешён входящий трафик от определённого источника, то исходящий ответный трафик к этому источнику разрешён автоматически, без необходимости создавать отдельное правило для исходящего трафика. Это упрощает конфигурацию, но может создавать риски, если злоумышленник инициирует соединение изнутри.

История и развитие

Концепция виртуальных брандмауэров на уровне виртуальных машин появилась в середине 2000-х годов с развитием облачных вычислений. Первой крупной платформой, внедрившей Security Groups, стала Amazon Web Services (AWS) в 2006 году с запуском Amazon EC2. Изначально Security Groups поддерживали только IPv4 и ограниченный набор протоколов. В 2013 году AWS добавила поддержку IPv6, а позже — возможность ссылаться на другие Security Groups как на источник (что позволяет строить многоуровневые архитектуры).

В Microsoft Azure аналогичная функциональность называется Network Security Groups (NSG), в OpenStack — Security Group Rules, в Google Cloud Platform — Firewall Rules (хотя они работают на уровне VPC, а не инстанса). Несмотря на разные названия, принцип остаётся общим.

Классификация и виды

По типу трафика

По способу задания источника/назначения

По протоколу и порту

Применение

Безопасность облачных инфраструктур

Security Groups являются основным средством сетевой изоляции в облачных средах. Их используют для:

Типовые сценарии

  1. Веб-сервер: разрешён входящий трафик на порты 80 (HTTP) и 443 (HTTPS) из 0.0.0.0/0, исходящий — любой.
  2. Сервер базы данных: разрешён входящий трафик на порт 3306 (MySQL) только из Security Group веб-серверов, исходящий — только к DNS-серверам.
  3. Административный доступ: разрешён входящий SSH (порт 22) только с IP-адресов офиса.

Ограничения и риски

Примеры реализации в облачных платформах

Amazon Web Services (AWS)

В AWS Security Groups привязываются к сетевым интерфейсам (ENI) экземпляров EC2. Один экземпляр может иметь до 5 групп (лимит может быть увеличен). Правила не имеют приоритета — все правила равны, и трафик разрешается, если он соответствует хотя бы одному правилу. AWS также поддерживает security group rules для VPC Endpoints и Lambda-функций.

Microsoft Azure

В Azure Network Security Groups (NSG) привязываются к подсетям или сетевым интерфейсам виртуальных машин. Поддерживают как allow, так и deny правила, а также теги служб (например, Internet, AzureLoadBalancer). NSG могут быть применены на уровне подписки.

OpenStack

В OpenStack Security Groups реализованы через нейтрон (Neutron) — сетевой сервис. Правила задаются для групп, которые затем привязываются к портам виртуальных машин. Поддерживается IPv4 и IPv6, а также возможность задавать правила на основе удалённой группы.

Интересные факты

Критика и ограничения

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →