В последнее время все чаще появляются новости об утечках пользовательских данных различных сервисов, и,
пожалуй, самой частой внешней причиной таких утечек становится недостаточное внимание к настройке
правил сетевой безопасности. Разработчики веб-сервисов, сосредоточившись на скорости выпуска релизов, часто просто забывают
о необходимости прятать от любопытных глаз сетевые службы баз данных, таких как Memcached, Redis, MongoDB, веб-службы внутренней
инфраструктуры, коллекторы логов и метрик и прочие подобные службы, где отсуствует авторизация. Для примера,
исследования последних месяцев показывали, что 75% redis серверов, открытых сети интернет,
инфицированы
криптомайнерами или другим зловредным софтом.
Очевидным образом поддержка настроек межсетевого экрана на каждом сервере с прямым выходом
в интернет становится всё сложнее с ростом инфраструктуры и требует инструментов для их автоматизации.
Для минимизации рисков, связанных с проблемами сетевой безопасности, инфраструтура виртуальных
датацентров обладает следующими характеристиками:
- виртуальные серверы создаются в сетевом периметре локальной сети и имеют только локальный IP адрес, выделение и подключение внешнего IP адреса происходит отдельным действием в Панели управления, через API или в Openstack клиенте;
- для портов виртуальных серверов включен механизм сетевых групп безопасности, в терминах Openstack -
Security Groups;
Сетевые группы безопасности - это настройки межсетевого фильтра (iptables), применяемые к портам снаружи виртуального сервера, другими словами,
эти настройки являются частью настроек виртуальной инфраструктуры датацентра, а не настройками внутри виртуальных серверов.
Управлять сетевыми группами безопасности вы можете
в Панели управления, через API или
в командной строке,
могут быть автоматизированы в оркестраторе
Openstack Heat или
системе управления конфигурациями серверов.
Таким образом, в принципе отпадает необходимость конфигурировать межсетевой экран непосредственно на самих виртуальных серверах.
Назначаемая по умолчанию группа
default разрешает сетевой трафик
внутри локальной сети и исходящи трафик. Вы можете создавать свои наборы
правил сетевой безопасности и по необходимости добавлять в них серверы или исключать из их.
Таким образом, вы можете обновлять систему, устанавливать дополнительное
ПО, конфигурировать его без риска несанкционированного доступа к портам снаружи.
Если вы назначаете серверу внешний IP адрес, правила сетевой безопасности
применяются и к нему.
Инструкция по конфигурированию и добавлению правил сетевой безопасности в Панели по
ссылке.