Документация Общие сведения Сетевая безопасность


В последнее время все чаще появляются новости об утечках пользовательских данных различных сервисов, и, пожалуй, самой частой внешней причиной таких утечек становится недостаточное внимание к настройке правил сетевой безопасности. Разработчики веб-сервисов, сосредоточившись на скорости выпуска релизов, часто просто забывают о необходимости прятать от любопытных глаз сетевые службы баз данных, таких как Memcached, Redis, MongoDB, веб-службы внутренней инфраструктуры, коллекторы логов и метрик и прочие подобные службы, где отсуствует авторизация. Для примера, исследования последних месяцев показывали, что 75% redis серверов, открытых сети интернет, инфицированы криптомайнерами или другим зловредным софтом.

Очевидным образом поддержка настроек межсетевого экрана на каждом сервере с прямым выходом в интернет становится всё сложнее с ростом инфраструктуры и требует инструментов для их автоматизации.

Для минимизации рисков, связанных с проблемами сетевой безопасности, инфраструтура виртуальных датацентров обладает следующими характеристиками:
  - виртуальные серверы создаются в сетевом периметре локальной сети и имеют только локальный IP адрес, выделение и подключение внешнего IP адреса происходит отдельным действием в Панели управления, через API или в Openstack клиенте;
  - для портов виртуальных серверов включен механизм сетевых групп безопасности, в терминах Openstack - Security Groups;

Сетевые группы безопасности - это настройки межсетевого фильтра (iptables), применяемые к портам снаружи виртуального сервера, другими словами, эти настройки являются частью настроек виртуальной инфраструктуры датацентра, а не настройками внутри виртуальных серверов. Управлять сетевыми группами безопасности вы можете в Панели управления, через API или в командной строке, могут быть автоматизированы в оркестраторе Openstack Heat или системе управления конфигурациями серверов. Таким образом, в принципе отпадает необходимость конфигурировать межсетевой экран непосредственно на самих виртуальных серверах.
Назначаемая по умолчанию группа default разрешает сетевой трафик внутри локальной сети и исходящи трафик. Вы можете создавать свои наборы правил сетевой безопасности и по необходимости добавлять в них серверы или исключать из их. Таким образом, вы можете обновлять систему, устанавливать дополнительное ПО, конфигурировать его без риска несанкционированного доступа к портам снаружи.

Если вы назначаете серверу внешний IP адрес, правила сетевой безопасности применяются и к нему.

Инструкция по конфигурированию и добавлению правил сетевой безопасности в Панели по ссылке.