Aspectos generales de los grupos de seguridad
Grupo de seguridad
Un grupo de seguridad es una colección de reglas de control de acceso para recursos en la nube, como servidores en la nube, contenedores y bases de datos, que tienen los mismos requisitos de protección de seguridad y que son de confianza mutua dentro de una VPC. Después de crear un grupo de seguridad, puede crear varias reglas de acceso para el grupo de seguridad, estas reglas se aplicarán a todos los recursos de nube agregados a este grupo de seguridad.
Su cuenta viene automáticamente con un grupo de seguridad predeterminado. El grupo de seguridad predeterminado permite todo el tráfico saliente, niega todo el tráfico entrante y permite todo el tráfico entre los recursos de nube del grupo. Sus recursos en la nube de este grupo de seguridad ya pueden comunicarse entre sí sin agregar reglas adicionales. Puede utilizar directamente el grupo de seguridad predeterminado. Para más detalles, consulte Grupos de seguridad predeterminados y reglas de grupos de seguridad.
También puede crear grupos de seguridad personalizados para satisfacer sus requisitos de servicio específicos. Para más detalles, consulte Creación de un grupo de seguridad.
Conceptos básicos del grupo de seguridad
- Puede asociar las instancias, como servidores y NIC de extensión, con uno o más grupos de seguridad.
Puede cambiar los grupos de seguridad asociados a instancias, como servidores o NIC de extensión. De forma predeterminada, al crear una instancia, se asocia con el grupo de seguridad predeterminado de su VPC a menos que especifique otro grupo de seguridad.
- Debe agregar reglas de grupo de seguridad para permitir que las instancias del mismo grupo de seguridad se comuniquen entre sí.
- Los grupos de seguridad son de estado. Si envía una solicitud desde la instancia y se permite el tráfico saliente, el tráfico de respuesta para esa solicitud puede fluir independientemente de las reglas del grupo de seguridad entrante. De manera similar, si se permite el tráfico entrante, se permite que las respuestas al tráfico entrante permitido fluyan hacia fuera, independientemente de las reglas salientes.
Los grupos de seguridad utilizan el seguimiento de conexión para realizar un seguimiento del tráfico hacia y desde las instancias que contienen y las reglas de grupo de seguridad se aplican en función del estado de conexión del tráfico para determinar si se permite o se deniega el tráfico. Si agrega, modifica o elimina una regla de grupo de seguridad, o crea o elimina una instancia en el grupo de seguridad, el seguimiento de conexión de todas las instancias del grupo de seguridad se borrará automáticamente. En este caso, el tráfico entrante o saliente de la instancia se considerará como nuevas conexiones, que deben coincidir con las reglas de grupo de seguridad entrante o saliente para garantizar que las reglas entren en vigor inmediatamente y la seguridad del tráfico entrante.
Además, si el tráfico entrante o saliente de una instancia no tiene paquetes durante mucho tiempo, el tráfico se considerará como nuevas conexiones después de que el seguimiento de la conexión se agote, y las conexiones deben coincidir con las reglas saliente e entrante. El periodo de tiempo de espera del seguimiento de la conexión varía según el protocolo. El periodo de tiempo de espera de una conexión TCP en el estado establecido es 600s, y el periodo de tiempo de espera de una conexión ICMP es 30s. Para otros protocolos, si se reciben paquetes en ambas direcciones, el periodo de tiempo de espera de seguimiento de conexión es de 180 segundos. Si se reciben uno o más paquetes en una dirección pero no se recibe ningún paquete en la otra dirección, el período de tiempo de espera de seguimiento de conexión es de 30 segundos. Para los protocolos distintos de TCP, UDP e ICMP, solo se realiza un seguimiento de la dirección IP y el número de protocolo.
Si dos ECS están en el mismo grupo de seguridad pero en las VPC diferentes, los ECS no pueden comunicarse entre sí. Para habilitar las comunicaciones entre los ECS, utilice un interconexión de VPC para conectar los dos VPC.
Reglas de grupos de seguridad
Después de crear un grupo de seguridad, puede agregar reglas al grupo de seguridad. Una regla se aplica al tráfico entrante o al tráfico saliente. Después de agregar recursos de nube al grupo de seguridad, están protegidos por las reglas del grupo.
Una regla de grupo de seguridad consta de:
- Source (regla de entrada) o Destination (regla de salida): El valor puede ser una dirección IP (como 192.168.10.10/32), un rango de direcciones IP (como 192.168.52.0/24), o un grupo de seguridad (como sg-abc).
- Protocol & Port: El valor de los puertos puede ser puertos individuales (como 22), puertos consecutivos (como 22-30), puertos y rangos de puertos (como 20,23-30), todos los puertos (1-65535). El protocolo puede ser TCP, UDP, HTTP y otros.
- Source: el valor puede ser una única dirección IP, un grupo de direcciones IP, o un grupo de seguridad.
- Type: El valor puede ser IPv4 o IPv6.
- Description: Información complementaria sobre la regla de grupo de seguridad.
Cada grupo de seguridad tiene sus reglas predeterminadas. Para más detalles, consulte Tabla 1. También puede personalizar las reglas del grupo de seguridad. Para más detalles, consulte Adición de una regla de grupo de seguridad.
Plantilla de grupo de seguridad
Puede seleccionar una de las siguientes plantillas de grupo de seguridad proporcionadas por el sistema para crear rápidamente un grupo de seguridad con reglas predeterminadas.
- General-purpose web server: el grupo de seguridad que se crea con esta plantilla es para servidores web de propósito general e incluye reglas predeterminadas que permiten todo el tráfico ICMP entrante y el tráfico entrante en los puertos 22, 80, 443 y 3389.
- All ports open: el grupo de seguridad que cree con esta plantilla incluye reglas predeterminadas que permiten el tráfico entrante en cualquier puerto. Tenga en cuenta que permitir el tráfico entrante en cualquier puerto plantea riesgos de seguridad.
- Custom: el grupo de seguridad que cree con esta plantilla incluye reglas predeterminadas que deniegan el tráfico entrante en cualquier puerto. Puede agregar o modificar reglas de grupo de seguridad según sea necesario.
Proceso de configuración del grupo de seguridad
Restricciones del grupo de seguridad
- De forma predeterminada, puede crear un máximo de 100 grupos de seguridad en su cuenta en la nube.
- De forma predeterminada, puede agregar hasta 50 reglas de grupo de seguridad a un grupo de seguridad.
- De forma predeterminada, no puede asociar más de cinco grupos de seguridad a cada ECS o NIC de extensión. En tal caso, las reglas de todos los grupos de seguridad seleccionados se agregan para que surtan efecto.
- Si un servidor en la nube o una NIC de extensión están asociados a varios grupos de seguridad, las reglas de grupo de seguridad se aplicarán según la siguiente secuencia: el primer grupo de seguridad asociado tendrá prioridad sobre los asociados más tarde, luego la regla con la prioridad más alta en ese grupo de seguridad se aplicará primero.
- Puede agregar un máximo de 20 instancias a un grupo de seguridad a la vez.
- No agregue más de 1000 instancias al mismo grupo de seguridad. De lo contrario, el rendimiento del grupo de seguridad puede verse afectado.
- Las reglas de grupo de seguridad con ciertas configuraciones no tienen efecto para los ECS de ciertas especificaciones. Tabla 1 muestra los detalles.
Tabla 1 Escenarios en los que las reglas del grupo de seguridad no entran en vigor Configuración de regla
Tipo de ECS
- Action se establece en Deny.
- Source o Destination se establece en IP address group.
No se admiten los siguientes tipos de ECS x86:- Memoria optimizada (ECS M1)
- Cómputo de alto rendimiento (ECS H1)
- Intensivo de disco (ECS D1)
- Acelerada por GPU (ECS G1 y G2)
- Memoria grande (ECS E1, E2 y ET2)
Port se establece en puertos no consecutivos.
No se admiten los siguientes tipos de ECS x86:
- Cómputo general (ECS S1, C1 y C2)
- Memoria optimizada (ECS M1)
- Cómputo de alto rendimiento (ECS H1)
- Intensivo de disco (ECS D1)
- Acelerada por GPU (ECS G1 y G2)
- Memoria grande (ECS E1, E2 y ET2)
No se admiten todos los ECS de Kunpeng.
Sugerencias
Cuando se utiliza un grupo de seguridad:
- No agregue todas las instancias al mismo grupo de seguridad si tienen requisitos de aislamiento diferentes.
- No es necesario que cree un grupo de seguridad para cada instancia. En su lugar, puede agregar instancias con los mismos requisitos de seguridad al mismo grupo de seguridad.
- Definir reglas de grupo de seguridad simples. Por ejemplo, si agrega una instancia a varios grupos de seguridad, la instancia puede cumplir con cientos de reglas de grupo de seguridad y un cambio en cualquier regla puede provocar la desconexión de la red para la instancia.
- Antes de modificar un grupo de seguridad y sus reglas, clone el grupo de seguridad y, a continuación, modifique el grupo de seguridad clonado para probar la comunicación y evitar efectos adversos en los servicios en ejecución.
- Al agregar una regla de grupo de seguridad para una instancia, conceda los permisos mínimos posibles. Por ejemplo:
- Abra un puerto específico, por ejemplo, 22. No se recomienda abrir un rango de puertos, por ejemplo, 22-30.
- No se recomienda que introduzca 0.0.0.0/0, permitiendo el tráfico hacia o desde todas las direcciones IP.
- Una regla de grupo de seguridad entra en vigor inmediatamente para sus ECS asociados después de configurar la regla sin reiniciar ECS. Independientemente de las reglas entrantes de un grupo de seguridad, se permite el tráfico de respuesta del tráfico saliente.
